Перейти к содержанию

Не запускаются установщики антивирусов.


Рекомендуемые сообщения

Сегодня обнаружил, что в браузере каждая вторая ссылка стала открываться через ссылку smartredirect.de и вести на рекламные фишинговые сайты, а установленный adblock показывал с около +90 заблокированных уведомлений на каждом сайте, плюс установщики всех антивирусов не запускаются. Dr.Web Cureit ничего не нашел, Adwcleaner решил проблему частично, вычистил из браузера расширения + нашел несколько троянов, но проблема с установкой антивирусов осталась.

AdwCleaner[C00].txt AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните Порядок оформления запроса о помощи.

Логи прикрепите к следующему сообщению в данной теме.

 

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, thyrex сказал:

Выполните Порядок оформления запроса о помощи.

Логи прикрепите к следующему сообщению в данной теме.

 

 

CollectionLog-2020.11.03-11.10.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1351457756-3017386612-2351663408-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-1351457756-3017386612-2351663408-1001\...\MountPoints2: {78a5fb0a-ffcf-11e9-abcb-7085c2f423c5} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1351457756-3017386612-2351663408-1001\...\MountPoints2: {c5729edd-edbf-11ea-ac47-503eaa0eddd0} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1351457756-3017386612-2351663408-1001\...\MountPoints2: {e9c8fa29-1507-11ea-abdb-503eaa0eddd0} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1351457756-3017386612-2351663408-1001\...\MountPoints2: {ffcd9943-69fc-11ea-ac12-503eaa0eddd0} - "F:\HiSuiteDownLoader.exe" 
    2020-11-02 15:06 - 2020-11-02 15:06 - 000000000 __SHD C:\rdp
    2020-11-03 11:40 - 2020-01-24 17:33 - 000000000 __SHD C:\ProgramData\Doctor Web
    AlternateDataStreams: C:\Users\Admin\AppData\Local\Temp:$DATA [16]
    BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Проблема вроде как исчезла, заработал KVRT, ничего не нашел, попробовал запустить установщик Kaspersky Security Cloud, работает. Думаю, тему можно закрывать.

Ссылка на сообщение
Поделиться на другие сайты

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.6 Внимание! Скачать обновления
Microsoft Office Access Runtime 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком.
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.1.6 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.1.9.1 v.4.1.9.1 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.270 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 80.0.1 (x64 ru) v.80.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От JhonV
      Здравствуйте!
      Сегодня браузер на ноутбуке сам начал открывать разные сайты с рекламой. После отключения от интернета повышалась нагрузка системы до 100%. Запустил KVRT, он обнаружил троян и руткиты на скриншоте ниже. Лечение/удаление не помогло. Пробовал запускать TDSSKiller он нашел подозрительные службы Winmon.sys и WinmonFS.sys После перезагрузки они остались. Также не могу установить Касперский антивирус. Клиент догружает антивирус и выпадает ошибка.
       



    • От truesilent
      С прошедшими праздниками, здоровья вашей команде, всех благ мирских.
      ПК№2
       
      CollectionLog-2021.01.13-10.37 ПК2.zip
    • От Valimar
      Здравствуйте. Сегодня при включении компьютера Касперский выдал это: Обнаружено: Trojan.Multi.GenAutorunTask.c, Объект: Системная память. Помогите убрать эту гадость.
      Проверка 
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.  результатов не дала. 
       
      Файл логов вот: 
       
      CollectionLog-2020.12.28-19.33.zip
    • От Zlowariy
      Здравствуйте, помогите пожалуйста. Вижу не я первый пишу по этому вирусу...
    • От FedorTupovat
      1)Проводил скан KVR,все чисто
      2)HiJackThis выдал ошибку и закрылся
      Доп.Сведения
      1)появляется BSOD с ошибкой ERROR_VIDEO_MANAGEMENT_INTERNAL(без инверсии цветов итд)
      2)Раз в месяц кидает на не очень хорошие сайты с ОЧЕНЬ длинными адресами
      3)Ноутбук не мой,но обладатель говорит что проблема возникла после установки кряка "Adobe premier pro"
      4)На тот момент антивирусом был "ESET NODE-32",он не обнаружил угрозы 
      5)Файл был большим (~1gb)
      6)Имя пользователя "Fedor"
      7)После открытия "установщика" он не открылся и файл никак нельзя было удалить
      8)после перезагрузки он исчез
      9)после taskmgr /0 /startup   нагрузка на проц значительно уменьшилась
      CollectionLog-2020.12.25-10.06.zip
×
×
  • Создать...