Genio Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 (изменено) Доброго времени суток! Нужна помощь. Надумала установить антивирус, купили подписку KIS, а он не устанавливается... От имени администратора запускаю - выскакивает окошко "Принять/Отменить" и просто исчезает, будто и не включала ничего. Ради интереса попробовала запустить Аваст и доктора Веба - то же самое. (перед установкой временно отключала защитника) Windows 10 Addition.txt FRST.txt GSI6_LENOVO_User_10_26_2020_14_07_53.zip Изменено 27 октября, 2020 пользователем Genio добавление файла Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Здравствуйте! Автологер по правилам тоже не запускается? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 CollectionLog-2020.10.27-12.22.zip Это оно, кажется... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end. Компьютер перезагрузится. Удалите старые и соберите новые логи FRST. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 Addition.txtFRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-799008216-2966127089-3032453228-1000\...\Policies\Explorer: [DisallowRun] 1 Task: {608758F5-7A67-4C96-AF90-0A974FAD582B} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION Task: {B79C8B97-9CA5-40D6-95A6-A4BDEDC6D102} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION Task: {C0A1BCAA-B404-4C12-81B0-A3AF74920264} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION Task: {F66508E1-D0EF-4DA6-BC7D-2E7DB3C5E49C} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION CHR StartupUrls: Default -> "hxxps://www.google.com.ua/?source=search_app","hxxp://yandex.ru/?clid=123448","hxxp://www.delta-homes.com/?type=hp&ts=1419426093&from=wpm12233&uid=HITACHIXHTS547575A9E384_J2190059G8W26CG8W26CX","hxxp://mail.ru/cnt/10445?gp=blackbear4","hxxps://e.mail.ru/thread/0:15430754640000000778:0/","hxxps://audioknigi.club/davidenko-sergey-oranzhevyy-domik#comments","hxxps://vk.com/im?peers=15759766&sel=239083091","hxxps://marieclaire.ua/obshhestvo/blondinka-v-zakone-10-luchshih-tsitat-el-vuds/","hxxps://drp.su/ru/info/review-driverpack-online?nps=4&model=ideapad%20110-15ACL&vendor=Lenovo&type=Notebook&os-version=10&arch=64&ie-version=11" 2020-10-11 11:53 - 2020-10-27 14:31 - 000000000 __SHD C:\ProgramData\Windows 2020-10-11 11:51 - 2020-10-27 14:31 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-10-11 11:51 - 2020-10-27 14:31 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-10-11 11:51 - 2020-10-11 11:51 - 000000000 __SHD C:\ProgramData\Doctor Web AlternateDataStreams: C:\Users\User\Application Data:77a575add9465d78c606d381e5f202fb [394] AlternateDataStreams: C:\Users\User\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394] FirewallRules: [{90A60AF1-0BDE-483C-8BFF-4D67615E5D1C}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => No File FirewallRules: [{971891E0-C985-406B-B96D-FEAFB4E0B3C1}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => No File FirewallRules: [{5FC20558-EC71-429A-A3EE-6B082EC80C33}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{50F8B88B-B547-4DD7-B4C1-DFD25890AAD7}] => (Block) LPort=445 FirewallRules: [{C2C2C23E-B077-4AB5-B79D-DDC95FE178FF}] => (Block) LPort=445 FirewallRules: [{4951D11E-11DB-4813-BFD2-A503623001B8}] => (Block) LPort=139 FirewallRules: [{F605D693-63D4-4594-A753-53F7486AEA1C}] => (Block) LPort=139 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Выполните ещё такой скрипт: Start:: Folder: C:\ProgramData\Windows End:: Новый файл Fixlog.txt прикрепите. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Зачем же в AVZ? Нужно в FRST его выполнить, также, как предыдущий. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 Я тупенькая, не обращайте внимания? Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Пробуйте сейчас установить антивирус. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 Огромное спасибо!! все заработало!) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 Проделайте завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Genio Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения