не устанавливается касперский

30 октября, 2020

Здравствуйте! Не устанавливается Касперский

Прикладываю логи

FRST.zip CollectionLog-2020.10.29-13.23.zip

30 октября, 2020

Здравствуйте!

Собирать логи и выполнять скрипты нужно из консоли, т.е. непосредственно на компьютере, а не через терминальное соединение.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
() [File not signed] C:\Windows\mssecsvc.exe
(Microsoft Corporation) [File not signed] C:\Windows\System32\dllhostex.exe
HKLM-x32\...\RunOnce: [360safeuninst_e9048aaf6e42a1cdca7745131e8a707c] => C:\Users\836D~1\AppData\Local\Temp\2\e9048aaf6e42a1cdca7745131e8a707c_remove360.bat [662 2020-10-29] () [File not signed] <==== ATTENTION
R2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe [3723264 2020-10-29] () [File not signed]
U4 QHActiveDefense; "D:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
R3 360netmon; system32\DRIVERS\360netmon.sys [X]
2020-10-29 12:55 - 2020-10-29 12:55 - 000000000 __SHD C:\ProgramData\360Quarant
2020-10-29 12:31 - 2020-10-29 12:31 - 003723264 ____S C:\Windows\mssecsvc.exe
2020-10-29 12:22 - 2020-10-29 12:22 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DrvMgr
2020-10-29 11:57 - 2020-10-29 11:57 - 000000000 ____D C:\Windows\Tasks\360Disabled
2020-10-29 11:21 - 2020-10-29 12:56 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DesktopLite
2020-10-30 08:05 - 2020-06-30 16:11 - 011435008 _____ C:\ProgramData\temp5.exe
2020-10-30 08:01 - 2017-11-27 07:51 - 003514368 ____S C:\Windows\tasksche.exe
2020-10-29 11:11 - 2020-06-29 14:56 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\Windows
2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RunDLL
2020-10-28 19:12 - 2020-06-29 14:56 - 000000000 __SHD C:\KVRT_Data
2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\kz.exe
2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass.exe
2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass2.exe
2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\olly.exe
2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\script.exe
2020-06-30 16:11 - 2020-10-30 08:05 - 011435008 _____ () C:\ProgramData\temp5.exe
FCheck: C:\Windows\boy.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
FCheck: C:\Windows\java.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
FCheck: C:\Windows\svchost.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
FirewallRules: [{31BF29CF-3948-4BCA-B003-DAA131D66EE7}] => (Allow) LPort=1521
FirewallRules: [{64018D1A-2427-41DA-948F-982322D9804B}] => (Allow) LPort=3389
FirewallRules: [{CD19D121-4180-49A1-A987-BB387E97195C}] => (Block) LPort=445
FirewallRules: [{2BBDA3B0-5232-4162-98E1-5B5E425A45E7}] => (Block) LPort=139
FirewallRules: [{9BEFC500-79DF-4AA3-9AC3-AA70FDD08E57}] => (Block) LPort=445
FirewallRules: [{3FD217BD-932A-40FB-8931-F624DA2E86DC}] => (Block) LPort=139
FirewallRules: [{84A53A09-5388-4617-9237-1B60A1F56AD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
FirewallRules: [{D0E97455-4CAB-4CC4-AAA0-D18EEE45863C}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{A55C7701-C890-4224-BB37-E020718216D7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{7A30A2DB-436C-413A-8FBF-EC287D757B0B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
FirewallRules: [{5AF70547-29BE-4ECE-A97F-8336DEA29F39}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{9EFC1741-FD9F-4424-BEBA-98727CE83036}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{A6191616-E95E-4924-AF46-83BEB46EA485}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
FirewallRules: [{1B78B73B-9ADC-470F-99A6-1BF55B036F07}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
FirewallRules: [{7139999C-1204-45DE-86F4-DB74251D7640}] => (Allow) C:\ProgramData\rundll\system.exe => No File
FirewallRules: [{3E1953AB-ABDA-4391-8A2F-2D6D55106109}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
FirewallRules: [{5A65C1A2-0BB2-42E8-93E5-3DF0E56E7570}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe
FirewallRules: [{A9900709-E7F1-4AC6-A5EC-998BB2EF5223}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe
FirewallRules: [{0538DA13-7BD3-491D-BE83-B6C73B4D6D1D}] => (Allow) LPort=9494
FirewallRules: [{7A16AB6C-0681-467B-BC72-3433B11FF002}] => (Allow) LPort=9393
FirewallRules: [{FD846D60-0313-446C-96D8-6901121256CB}] => (Allow) LPort=9494
FirewallRules: [{0FBDDFA7-8B9B-4927-AAAE-F14C045D9777}] => (Allow) LPort=9393
FirewallRules: [{5A08977D-18E6-4C4C-B1D7-46A73C51DD15}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
FirewallRules: [{5F4347F3-F94C-4BAE-BB94-164AFA0D09EE}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
Zip: c:\FRST\Quarantine\
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Соберите новые лолги FRST.

30 октября, 2020

Fixlog.txt Addition.txt FRST.txt

30 октября, 2020

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteSysClean;
end;

begin
 AV_block_remove;
end.

Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger.

Изменено 30 октября, 2020 пользователем Sandor

30 октября, 2020

2020.10.30_quarantine_3e1d7600c6d0ddf46d93652ed70cb888.zip

CollectionLog-2020.10.30-15.40.zip

30 октября, 2020

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\networkdistribution\svchost.exe');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFileF('C:\Windows\NetworkDistribution\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 QuarantineFile('c:\windows\networkdistribution\svchost.exe','');
 QuarantineFile('C:\Windows\system32\WindowsSSDPService.dll','');
 DeleteFile('C:\Windows\system32\WindowsSSDPService.dll','64');
 DeleteFile('c:\windows\networkdistribution\svchost.exe','64');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFileMask('C:\Windows\NetworkDistribution\', '*', true);
 DeleteDirectory('C:\Windows\NetworkDistribution\');
ExecuteSysClean;
end.

Компьютер перезагрузите вручную.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ещё раз соберите новый CollectionLog.

Изменено 30 октября, 2020 пользователем Sandor

30 октября, 2020

2020.10.30_quarantine_650f7ac3643c927e7734d44b24d0224f.zip

CollectionLog-2020.10.30-19.37.zip

Вопрос на будущее. есть ли руководство, как самому составлять скрипты, чтобы очищать компьютер от вирусов?

и правила использования всех утилит?

30 октября, 2020

Да, можете пройти обучение.

Что сейчас с проблемой?

2 ноября, 2020

антивирус установился, спасибо! Отправлял повторные логи, чтобы устранить остальные ошибки, если они есть.

Есть ли еще ошибки в логах, либо полностью их не удалить?

2 ноября, 2020

1 час назад, Konstantin1702 сказал:

Есть ли еще ошибки в логах

Вредоносного не видно.

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

2 ноября, 2020

https://virusinfo.info/virusdetector/ report.php?md5=B382E56362FF2D81F5B8719DB3931E5C

Что означают следующие предложения, что с ними делать?

[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Обнаружено уязвимостей: много.

сейчасҐс покаҐа ставлюҐwind7ows¥s servise¥e pack¥ 1

иҐ почемуҐ символыҐы д1обавляютсяҐя неизвестные?

2 ноября, 2020

2 часа назад, Konstantin1702 сказал:

Обнаружено уязвимостей: много.

Покажите файл avz_log.txt

3 ноября, 2020

новые логи

avz_log.txt

Изменено 3 ноября, 2020 пользователем Konstantin1702

3 ноября, 2020

В итоге получилось устранить уязвимости?

5 ноября, 2020

д1а,Ґ спасибо.Ґ закрывайтеҐ тему

не устанавливается касперский

Рекомендуемые сообщения

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Sandor

Konstantin1702

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum