Перейти к содержанию

[РЕШЕНО] не запускается антивирус


Рекомендуемые сообщения

Здравствуйте уважаемые. 

Видел у вас такие проблемы на раз решаются. Не смог сделать по аналогии. Прикрепляю сразу файлы

Там куча каких то антивирусов непонятных, найти я их не смог. Снести бы все, оставив только наш любимый. Если он там есть.

 

 

FRST.rar Addition.rar

Ссылка на сообщение
Поделиться на другие сайты
58 минут назад, npocTo4ok сказал:

вроде бы вот это ещё нужно

Не ещё, а только это и требовалось прикрепить.

1 час назад, npocTo4ok сказал:

Не смог сделать по аналогии.

Выполнять рекомендации написанные для других пользователей запрещено, можете убить свою систему.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Запустите снова AutoLogger и прикрепите свежие логи.

Ссылка на сообщение
Поделиться на другие сайты

Дико извиняюсь, но вот тут чуть не понял "Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: "  Нужно что то ещё выполнить, после того как у меня комп перезагрузился и перед тем, как я полученный архив quarantine.zip из папки с распакованной утилитой AVZ, отправлю на указанный ящик? 

 

после слов :  "После перезагрузки, выполните такой скрипт: " ещё какой-то код должен быть?

Ссылка на сообщение
Поделиться на другие сайты

Этой фразы быть не должно. Продолжайте:

11 часов назад, regist сказал:

Запустите снова AutoLogger и прикрепите свежие логи.

 

Ссылка на сообщение
Поделиться на другие сайты

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Настройки прокси сами прописывали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = www.google.ru;vk.com;www.nationstates.net;www.youtube.com;hidemy.name
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 217.182.76.229:8888 (disabled)

если нет, то "Пофиксите" в HijackThis эти строки, заодно можно и пофиксить и

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://ru.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10454__180620__yaie
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}: [SuggestionsURL_JSON] = https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627 - Яндекс
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}: [URL] = https://yandex.ru/search/?text={searchTerms}&clid=2233627 - Яндекс
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353}: [SuggestionsURL] = https://ie.search.yahoo.com/os?appid=ie8&command={searchTerms} - Yahoo!
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353}: [TopResultURL] = https://ru.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10454__180620__yaie&p={searchTerms} - Yahoo!
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353}: [URL] = https://ru.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10454__180620__yaie&p={searchTerms} - Yahoo!

если сами эти поисковики не назначали.

 

 

Немного ещё мусор почистим.  "Пофиксите" в HijackThis следующие строки:

O2-32 - HKLM\..\BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\OCHelper.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [EpicGamesLauncher] = D:\Установленные программы\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe -silent (file missing) (2020/08/14)
O4 - HKCU\..\StartupApproved\Run: [EvolveClient] = D:\Установленные программы\Evolve\EvolveClient.exe -autorun (file missing) (2017/11/06)
O4 - HKLM\..\Run: [AdobePSE19AutoAnalyzer] = D:\Установленные программы\Adobe\Elements 2021 Organizer\Elements Auto Creations 2021.exe  (file missing)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Отправить в OneNote: (default) = C:\Program Files\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = C:\Program Files\Microsoft Office\Office16\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\Root\Office16\EXCEL.EXE (file missing)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Send to OneNote - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\OCHelper.dll (file missing)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\ONBttnIELinkedNotes.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Se&nd to OneNote - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\OCHelper.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesX86\Microsoft Office\Office16\ONBttnIELinkedNotes.dll (file missing)
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: (disabled) \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Task: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\Office16\msoia.exe scan upload (file missing)
O22 - Task: AdobeAAMUpdater-1.0-npocTo4ok-ПК-npocTo4ok - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (file missing)
O22 - Task: KMSAuto - C:\Windows\KMSAutoS\KMSAuto x64.exe /ofs=act (file missing)
O22 - Task: \Microsoft\Office\Office Feature Updates - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\sdxhelper.exe (file missing)
O22 - Task: \Microsoft\Office\Office Feature Updates Logon - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\sdxhelper.exe /onlogon (file missing)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerLogon - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\Office16\officebackgroundtaskhandler.exe (file missing)
O22 - Task: \Microsoft\Office\OfficeBackgroundTaskHandlerRegistration - D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\OFFICE\root\Office16\officebackgroundtaskhandler.exe (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

Голосовой помощник Алиса [20201027]-->MsiExec.exe /I{4D922459-6A2E-4E43-B7A1-86872A9078F3}
Кнопка "Яндекс" на панели задач [2019/08/12 19:34:54]-->C:\Users\Administrator\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned

Если не используете, то советую деинсталировать.

 

Java 8 Update 45 (64-bit) [20180820]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86418045F0}

деинсталируйте, если она нужна, то поставьте актуальную версию.

 

OpenVPN 2.4.5-I601  - вижу в установленных, но по логам файлов от неё нигде не нашло вроде. Если он у вас удалён, то надо бы дочистить его.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

virusinfo_auto_NPOCTO4OK-ПК    - получился такой архив по первому заданию - его вес 310 мб! На сайте, куда мне нужно было залить и предоставить ссылку здесь, мне написало "413 Запрос слишком большой объект" (на английском: 413 Request Entity Too Large) 

 

а хотите скажу, почему  (file missing)  (отсутсвие файла) так много? потому что npocTo4ok - дебил, который торопится, когда что -то делает. У меня программа не устанавливалась в путь, где присутствует кириллица.  Ну и я - охарактеризуйте сами,  взял тупо папку переименовал. А папка та была, папкой "установленные программы" - естественно все програмы потеряли свой путь. 

 

 Это вам анекдот, с коллегами посмеяться )))) Разбавить рабочие будни 😉 

(понимаю что не по форме)

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, npocTo4ok сказал:

virusinfo_auto_NPOCTO4OK-ПК    - получился такой архив по первому заданию - его вес 310 мб! На сайте, куда мне нужно было залить и предоставить ссылку здесь, мне написало "413 Запрос слишком большой объект" (на английском: 413 Request Entity Too Large) 

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, regist сказал:

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

👍

https://cloud.mail.ru/public/4Zec/4P7ZQg6PL

 

ClearLNK-2020.10.30_18.57.53.rar

 

19 часов назад, regist сказал:

+

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

 

sfcdoc.rar

 

=> OpenVPN 2.4.5-I601  - вижу в установленных, но по логам файлов от неё нигде не нашло вроде. Если он у вас удалён, то надо бы дочистить его.

 

19 часов назад, regist сказал:





Java 8 Update 45 (64-bit) [20180820]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86418045F0}

деинсталируйте, если она нужна, то поставьте актуальную версию.

обновил до актуальной 

 

19 часов назад, regist сказал:

OpenVPN 2.4.5-I601  - вижу в установленных, но по логам файлов от неё нигде не нашло вроде. Если он у вас удалён, то надо бы дочистить его.

нашёл, удалил через деинсталлятор. В списке установленных программ, теперь его нет.

 

19 часов назад, regist сказал:

Голосовой помощник Алиса [20201027]-->MsiExec.exe /I{4D922459-6A2E-4E43-B7A1-86872A9078F3} Кнопка "Яндекс" на панели задач [2019/08/12 19:34:54]-->C:\Users\Administrator\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned

Яндексом пользуюсь, как вторым браузером. 

 

Алису установил, чтоб болтать с ней. Но пока не приходилось

 

тут значений больше. Может быть и зря я второй раз запускал, но на всякий случай.

sfcdoc.rar

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, npocTo4ok сказал:

тут значений больше. Может быть и зря я второй раз запускал, но на всякий случай.

Там два файла должно было быть, надо было оба прикрепялять. Но сейчас сначала запустите расширенную проверку (2-й пункт), а уже потом свежие логи.

 

Потом удалите созданные ранее логи frst и соберите свежие.

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, regist сказал:

Там два файла должно было быть, надо было оба прикрепялять. Но сейчас сначала запустите расширенную проверку (2-й пункт), а уже потом свежие логи.

 

Потом удалите созданные ранее логи frst и соберите свежие.

Увидел какой второй файл, незаметил. 

У меня проблема. Я вижу только файл "Выполнить_проверку_sfc_scannow" расширения .bat он запускает сразу же только обычную проверку. Расширенной проверки там нет. там вообще таблицы нет, той которая на скрине. 

думал через командную смогу, но не увидел нужного пункта. скрин, на всякий случай в архиве.

скрин команд. строки.rar

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, npocTo4ok сказал:

Увидел какой второй файл, незаметил. 

У меня проблема. Я вижу только файл "Выполнить_проверку_sfc_scannow" расширения .bat он запускает сразу же только обычную проверку. Расширенной проверки там нет. там вообще таблицы нет, той которая на скрине. 

думал через командную смогу, но не увидел нужного пункта. скрин, на всякий случай в архиве.

скрин команд. строки.rar 221 kB · 0 загрузок

Я понял, на сайте были 2 ссылки на 2 версии приложения: 1-я - Чисто функция scannow, 2-я Полная, с таблицей выбора. 

 

 

Так же свежие логи с FRST

 

CBS.rar sfcdoc.rar FRST.rar Addition.rar

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...