Не запускается проверка Kaspersky Virus Removal Tool

[александр2020]

Проблема началась после установки и использования iobit утилит для чистки и оптимизации компьютера. Проблему обнаружил еще в четверг, в простое видеокарта грелась до 80с. Я почистил компьютер, вызвал мастера, термопасту поменяли. Однако проблема осталась. Вегда использовал KVRT , но в этот раз вирусы мне не давали возможность даже запустить и найти его, точно так же как и dr. web cureit. Я сделал по хитрому, скачал на телефоне dr.web, загрузил потом на компьютер и удалил найденные вирусы. Потом скачал утилиту KVRT, она уже запускалась, но проверку делать отказывается, не нажимается. Я уверен что вирусы все еще какие то остались, они себя не выдают

CollectionLog-2020.10.24-18.04.zip

Изменено 24 октября, 2020 пользователем александр2020

[thyrex]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[александр2020]

 https://drive.google.com/file/d/1GmmrreEL9LwiJ-wFg5VObtUO4CislIo_/view?usp=sharing - карантин

 

 

CollectionLog-2020.10.24-21.02.zip

Изменено 24 октября, 2020 пользователем александр2020

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[александр2020]

addition.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: F - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {4df1f8ea-c1c5-11e8-8652-fcaa140d599b} - "F:\Autoplay.exe" -auto
HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\MountPoints2: {e3996899-f9b5-11e8-8656-fcaa140d599b} - "I:\OInstall.exe" 
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
OPR Extension: (Adblocker for Youtube™) - C:\Users\demangel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogmclhffdfjphnjlikiijmdjpjlfodk [2018-12-14]
2020-09-01 13:44 - 2020-10-23 00:13 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-09-01 13:33 C:\Program Files\ESET
2020-10-24 04:10 C:\ProgramData\Doctor Web
2020-10-24 04:10 C:\Users\Все пользователи\Doctor Web
FirewallRules: [TCP Query User{85AE691A-96D7-44EF-BA18-18A17DAB2747}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [UDP Query User{7FB5E96F-B303-4F40-9421-DDE601316873}H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe] => (Allow) H:\av voice changer diamond 8.0.24\av voice changer diamond 8.0.24\loader.exe => No File
FirewallRules: [{2C12102F-C95D-480B-BB08-0F9DB3AE0685}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\ProgramData\TEMP:04853F41 [141]
AlternateDataStreams: C:\ProgramData\TEMP:7980A5DB [149]
AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\ProgramData\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\ProgramData\TEMP:B0177106 [143]
AlternateDataStreams: C:\ProgramData\TEMP:B6AC352B [131]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
AlternateDataStreams: C:\Users\demangel\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\demangel\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:04853F41 [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:7980A5DB [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD [141]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:AE77C4CC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B0177106 [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B6AC352B [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [210]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[александр2020]

Fixlog.txt

[александр2020]

благодарю вас за помощь, вы очень помогли, теперь запускается, отпишусь как все проверит

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[александр2020]

SecurityCheck.txt

[thyrex]

Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.5.9 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.20278 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.20.143.0716.0003 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer v.15.0.8397 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
WhatsApp v.2.2041.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.1.12.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2080, 07.07.2018 Внимание! Скачать обновления
K-Lite Codec Pack 15.3.5 Full v.15.3.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 ActiveX & Plugins 64-bit v.30.0.0.154 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Creative Cloud v.4.7.0.400 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.433 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.433 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.2 (x64 ru) v.81.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Игровой центр v.4.1530 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.9.1.7.901 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.3.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!