Перейти к содержанию

Не запускаются продукты от Касперского


Рекомендуемые сообщения

Добрый день! KVRT не реагирует на клавишу "Запустить", даже в безопасном режиме. Обычный антивирус Касперского даже не устанавливается.

После сканирования Dr.Web CureIt было найдено два десятка угроз, которые были удалены. Однако это не принесло результата. KVRT по прежнему не работает, антивирус не устанавливается.

CollectionLog-2020.11.08-23.16.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Файл AV_block_remove.log из папки AVZ тоже прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Файл сохранён как 201108_205821_quarantine_5fa85bed971fe.zip
Размер файла 43176893
MD5 bf7637fbf61ebddafc8fb5197e5ac934

CollectionLog-2020.11.09-00.05.zipПолучение информации... AV_block_remove.logПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-2470157749-773310679-2099496071-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\admin\AppData\Local\Microsoft\OneDrive\19.222.1110.0006\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-2470157749-773310679-2099496071-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Microsoft\OneDrive\19.222.1110.0006\amd64\FileSyncShell64.dll => No File
ShellIconOverlayIdentifiers: [                                        WebDriveCache] -> {37D70BD3-073C-4180-ADD9-C032EA5A7204} =>  -> No File
ShellIconOverlayIdentifiers: [                                        WebDriveCloud] -> {E26B9A66-9EB1-4D16-B12E-594B4354C5F0} =>  -> No File
ShellIconOverlayIdentifiers: [                                        WebDriveLink] -> {DB4D0214-8E4B-4F8D-9F4C-53EB3373EB7E} =>  -> No File
ShellIconOverlayIdentifiers: [                                        WebDriveShare] -> {7905B872-4E2C-4855-919D-88B1DAA875EC} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
FirewallRules: [{E90004CC-633E-4924-B232-30389D1327E5}] => (Allow) C:\Users\admin\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{01B4FBAB-D678-4C3A-81C9-CD4416C2BADD}] => (Allow) C:\Users\admin\AppData\Roaming\Zoom\bin\Zoom.exe => No File
FirewallRules: [{5E05C3B4-773E-477D-9195-14E5BF8267D9}] => (Allow) C:\Program Files\WebDrive\wdService.exe => No File
FirewallRules: [{CE73A2C2-0099-4C5C-9713-4CDFD15C5C75}] => (Allow) C:\Program Files\WebDrive\wdService.exe => No File
FirewallRules: [{63E6E6A6-B05C-4B43-BB84-51011F2F4A2A}] => (Allow) C:\Program Files\WebDrive\WebDrive.exe => No File
FirewallRules: [{AD3E8EC7-3980-4619-ADD8-E9DA75721A3B}] => (Allow) C:\Program Files\WebDrive\WebDrive.exe => No File
FirewallRules: [{90F03DCC-D858-4A2C-9E7A-4FDEEC2DF2CE}] => (Allow) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => No File
FirewallRules: [{18C540EF-4CD7-4764-A79B-1AF260AB769B}] => (Allow) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => No File
FirewallRules: [{18199C6F-8840-48CA-AA7F-33A0AABA1A8E}] => (Allow) C:\Program Files\Microsoft Office\Office16\lync.exe => No File
FirewallRules: [{0E14938B-4495-4566-8FB1-3DFED4CB34A3}] => (Allow) C:\Program Files\Microsoft Office\Office16\lync.exe => No File
FirewallRules: [{D91AF52C-FDCF-4446-A4F0-5D4556BF8ECC}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      4 марта Broadcom выпустила экстренные обновления для устранения трех уязвимостей — CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, которые затрагивают несколько продуктов VMware, включая ESXi, Workstation и Fusion. В бюллетене упоминается, что по информации Broadcom как минимум CVE-2025-22224 эксплуатируется в реальных атаках. Уязвимости позволяют выполнить «побег» из виртуальной машины и выполнить код в гипервизоре ESX (hypervisor escape). По информации из GitHub VMware, Microsoft Threat Intelligence Center первым обнаружил эксплойт в реальной среде и уведомил Broadcom. Но кто и против кого использовал этот эксплойт, компании не разглашают.
      Уязвимости по данным Broadcom затрагивают VMware ESXi 7.0-8.0, Workstation 17.x, vSphere 6.5-8, Fusion 13.x, Cloud Foundation 4.5-5.x, Telco Cloud Platform 2.x-5.x, Telco Cloud Infrastructure 2.x-3.x, хотя некоторые эксперты считают, что список затронутых продуктов несколько шире. В частности, более старые версии, например 5.5, тоже должны быть подвержены уязвимости, но патчи для них выпущены не будут, эти версии не поддерживаются. По имеющимся оценкам на конец недели, уязвимостям подвержены более 41 тысячи серверов ESXi, расположенных во всех частях света — больше всего в Китае, Франции, США, Германии, Иране и Бразилии.
      Какие ошибки устранены VMware
      Наиболее серьезная уязвимость CVE-2025-22224 в VMware ESXi и Workstation получила рейтинг CVSS 9.3. Она связана с переполнением кучи (heap overflow) в VMCI и позволяет злоумышленнику с локальными административными привилегиями на виртуальной машине выполнить код от имени процесса VMX на хосте (то есть в гипервизоре).
      Уязвимость CVE-2025-22225 в VMware ESXi (CVSS 8.2) позволяет злоумышленнику записать произвольный код в область ядра (arbitrary kernel write), то есть тоже подразумевает побег из «песочницы». CVE-2025-22226 является утечкой информации в HGFS (CVSS 7.1) и позволяет злоумышленнику с административными привилегиями на виртуальной машине извлекать содержимое памяти процесса VMX. Этой уязвимости подвержены VMware ESXi, Workstation и Fusion.
       
      View the full article
    • JeySerYT
      Автор JeySerYT
      В последнее время я начал наблюдать замедленную работу компьютера, решил проверить на вирусы и установил Kaspersky premium но вышла такая проблема: когда запускаю ничего абсолютно не происходит, может вы поможете с этим?
    • Winbeecatcat
      Автор Winbeecatcat
      каждый раз когда я включаю ноутбук при запуске запускается повершел а потом закрывается, раньше когда у меня был виндовс дефендер он просто писал про троян malgent а сейчас с касперским пишет то что повершел пытался открыть сайт с гифкой с соником и надписью no way (скриншот)
      Сегодня, 16.03.2025 20:37:01;Остановлен переход на сайт;Yandex with voice assistant 
       

    • Воронцов
      Автор Воронцов
      «Лаборатория Касперского» сообщает об открытии бесплатной телефонной линии 8-800 для технической поддержки пользователей персональных продуктов компании.
      Перед звонком мы рекомендуем вам найти ответ на вопрос в нашей Базе знаний или создать запрос в оф саппорт через личный кабинет! подробнее тут: https://support.kaspersky.ru/
      Новый номер техподдержки 8-800-700-**** — будет круглосуточно доступен для российских пользователей. Параллельно продолжит работать старый московский номер 8-495-663-****: его можно использовать для звонков из Москвы и других регионов.
      Важной частью проекта является наличие внешнего call-центра, мощности которого позволят справиться с высокой нагрузкой, которая может возникнуть в результате введения бесплатного номера. Партнером, предоставляющим услуги call-центра, выступает компания «Совинтел» (Билайн-бизнес).
      В будущем планируется ввод бесплатного номера для стран СНГ.
      Источник: http://www.kaspersky.ru/news?id=207733313.
    • Ilya12
      Автор Ilya12
      Похоже на компьютере вирус или последствия работы вируса.Windows 7 SP1 6.1.7601.24449  Как вылечить?

×
×
  • Создать...