Перейти к содержанию

не устанавливается касперский


Konstantin1702

Рекомендуемые сообщения

Здравствуйте!

 

Собирать логи и выполнять скрипты нужно из консоли, т.е. непосредственно на компьютере, а не через терминальное соединение.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    () [File not signed] C:\Windows\mssecsvc.exe
    (Microsoft Corporation) [File not signed] C:\Windows\System32\dllhostex.exe
    HKLM-x32\...\RunOnce: [360safeuninst_e9048aaf6e42a1cdca7745131e8a707c] => C:\Users\836D~1\AppData\Local\Temp\2\e9048aaf6e42a1cdca7745131e8a707c_remove360.bat [662 2020-10-29] () [File not signed] <==== ATTENTION
    R2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe [3723264 2020-10-29] () [File not signed]
    U4 QHActiveDefense; "D:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
    R3 360netmon; system32\DRIVERS\360netmon.sys [X]
    2020-10-29 12:55 - 2020-10-29 12:55 - 000000000 __SHD C:\ProgramData\360Quarant
    2020-10-29 12:31 - 2020-10-29 12:31 - 003723264 ____S C:\Windows\mssecsvc.exe
    2020-10-29 12:22 - 2020-10-29 12:22 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DrvMgr
    2020-10-29 11:57 - 2020-10-29 11:57 - 000000000 ____D C:\Windows\Tasks\360Disabled
    2020-10-29 11:21 - 2020-10-29 12:56 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DesktopLite
    2020-10-30 08:05 - 2020-06-30 16:11 - 011435008 _____ C:\ProgramData\temp5.exe
    2020-10-30 08:01 - 2017-11-27 07:51 - 003514368 ____S C:\Windows\tasksche.exe
    2020-10-29 11:11 - 2020-06-29 14:56 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\Windows
    2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-10-28 19:12 - 2020-06-29 14:56 - 000000000 __SHD C:\KVRT_Data
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\kz.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass2.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\olly.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\script.exe
    2020-06-30 16:11 - 2020-10-30 08:05 - 011435008 _____ () C:\ProgramData\temp5.exe
    FCheck: C:\Windows\boy.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FCheck: C:\Windows\java.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FCheck: C:\Windows\svchost.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FirewallRules: [{31BF29CF-3948-4BCA-B003-DAA131D66EE7}] => (Allow) LPort=1521
    FirewallRules: [{64018D1A-2427-41DA-948F-982322D9804B}] => (Allow) LPort=3389
    FirewallRules: [{CD19D121-4180-49A1-A987-BB387E97195C}] => (Block) LPort=445
    FirewallRules: [{2BBDA3B0-5232-4162-98E1-5B5E425A45E7}] => (Block) LPort=139
    FirewallRules: [{9BEFC500-79DF-4AA3-9AC3-AA70FDD08E57}] => (Block) LPort=445
    FirewallRules: [{3FD217BD-932A-40FB-8931-F624DA2E86DC}] => (Block) LPort=139
    FirewallRules: [{84A53A09-5388-4617-9237-1B60A1F56AD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
    FirewallRules: [{D0E97455-4CAB-4CC4-AAA0-D18EEE45863C}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{A55C7701-C890-4224-BB37-E020718216D7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{7A30A2DB-436C-413A-8FBF-EC287D757B0B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
    FirewallRules: [{5AF70547-29BE-4ECE-A97F-8336DEA29F39}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{9EFC1741-FD9F-4424-BEBA-98727CE83036}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{A6191616-E95E-4924-AF46-83BEB46EA485}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
    FirewallRules: [{1B78B73B-9ADC-470F-99A6-1BF55B036F07}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
    FirewallRules: [{7139999C-1204-45DE-86F4-DB74251D7640}] => (Allow) C:\ProgramData\rundll\system.exe => No File
    FirewallRules: [{3E1953AB-ABDA-4391-8A2F-2D6D55106109}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
    FirewallRules: [{5A65C1A2-0BB2-42E8-93E5-3DF0E56E7570}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe
    FirewallRules: [{A9900709-E7F1-4AC6-A5EC-998BB2EF5223}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe
    FirewallRules: [{0538DA13-7BD3-491D-BE83-B6C73B4D6D1D}] => (Allow) LPort=9494
    FirewallRules: [{7A16AB6C-0681-467B-BC72-3433B11FF002}] => (Allow) LPort=9393
    FirewallRules: [{FD846D60-0313-446C-96D8-6901121256CB}] => (Allow) LPort=9494
    FirewallRules: [{0FBDDFA7-8B9B-4927-AAAE-F14C045D9777}] => (Allow) LPort=9393
    FirewallRules: [{5A08977D-18E6-4C4C-B1D7-46A73C51DD15}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
    FirewallRules: [{5F4347F3-F94C-4BAE-BB94-164AFA0D09EE}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
    Zip: c:\FRST\Quarantine\
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Соберите новые лолги FRST.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteSysClean;
end;

begin
 AV_block_remove;
end.

 

Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Изменено пользователем Sandor
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\networkdistribution\svchost.exe');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFileF('C:\Windows\NetworkDistribution\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 QuarantineFile('c:\windows\networkdistribution\svchost.exe','');
 QuarantineFile('C:\Windows\system32\WindowsSSDPService.dll','');
 DeleteFile('C:\Windows\system32\WindowsSSDPService.dll','64');
 DeleteFile('c:\windows\networkdistribution\svchost.exe','64');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFileMask('C:\Windows\NetworkDistribution\', '*', true);
 DeleteDirectory('C:\Windows\NetworkDistribution\');
ExecuteSysClean;
end.

 

Компьютер перезагрузите вручную.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ещё раз соберите новый CollectionLog.

Изменено пользователем Sandor
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

2020.10.30_quarantine_650f7ac3643c927e7734d44b24d0224f.zip

CollectionLog-2020.10.30-19.37.zip

 

Вопрос на будущее. есть ли руководство, как самому составлять скрипты, чтобы очищать компьютер от вирусов?

и правила использования всех утилит? 

Ссылка на комментарий
Поделиться на другие сайты

антивирус установился, спасибо! Отправлял повторные логи, чтобы устранить остальные ошибки, если они есть.

Есть ли еще ошибки в логах,  либо полностью их не удалить?

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Konstantin1702 сказал:

Есть ли еще ошибки в логах

Вредоносного не видно.

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты


https://virusinfo.info/virusdetector/ report.php?md5=B382E56362FF2D81F5B8719DB3931E5C

Что означают следующие предложения, что с ними делать?

[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Обнаружено уязвимостей: много.

 

сейчасҐс покаҐа ставлюҐwind7ows¥s servise¥e pack¥ 1

иҐ почемуҐ символыҐы д1обавляютсяҐя неизвестные?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ari_x_100
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Genom45
      От Genom45
      Приветствую, перепробовал все возможные портейбл версии антивирусов, AVbr просто не запускается, касперский выдал пару вирусов, тоже сделал и curiet. Проблема осталась 
       
    • ArtemKu
      От ArtemKu
      Здравствуйте, не устанавливается Kaspersky Premium. В прошлом разделе не выявили причину. Ссылка на форум прикрепил. 
       
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • ArtemKu
      От ArtemKu
      Здравствуйте, скачал установщик  Kaspersky Premium с оф сайта, но он ни как не реагирует . 
      CollectionLog-2024.10.10-20.11.zip AV_block_remove_2024.10.10-20.06.log
    • Vadim Nube
      От Vadim Nube
      Здравствуйте! Помогите пожалуйста. Adwcleaner - не помогает в решении проблемы.
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus" - который не является оригинальным расширением. Данное расширение маскируется под него.
      Скачал программу FRST64, отчеты приложил.
      К слову я слабый пользователь ПК.
      Shortcut.txt Addition.txt FRST.txt
×
×
  • Создать...