Перейти к содержанию

не запускается Kaspersky virus removal tool


Рекомендуемые сообщения

Проблема началась со скачивания vpn - proton, далее заметил тормоза и решил удалить - просканировать. Но не тут то было- ваши сайты не открывались, даже доктор веб. Но я при помощи телефона скачал доктор веб. Приложу частично скрины. Ваша прогармма по прежнему не запускается. Мой компьютер хотели преехватиь и уничтожить, был найден radmin

 

CollectionLog-2020.11.21-16.25.zip

Спойлер

 

photo_2020-11-21_16-29-11.jpg

photo_2020-11-21_16-29-10.jpg

 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to не запускается Kaspersky virus removal tool

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  FSResetSecurity(fname);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
57 минут назад, александр2020 сказал:

Защитник виндоус нашел еще пару троянов

Используйте лицензионный софт, и ничего подобного обнаруживаться не будет.

Ссылка на сообщение
Поделиться на другие сайты

какие мои дальнейшие действия ? вы поможете? причина обращения , плохая скорость интернета у друга - решил просто скачать проверить бесплатную VPN. И нанес большой вред компьютеру.

Изменено пользователем александр2020
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
    HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\Policies\Explorer: [DisallowRun] 1
    Task: {29c91c1d-69f8-449a-808b-4e0bbc2f217c} - no filepath
    FF user.js: detected! => C:\Users\demangel\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2020-10-21]
    FF Notifications: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://taxi.yandex.ru; hxxps://www.porndig.com; hxxps://www.curse.com; hxxps://loopit.in; hxxps://bethplanet.ru; hxxps://key.sendpulse.com; hxxps://lifehacker.ru; hxxps://macdiggerru.push.world; hxxps://mir24.tv; hxxps://www.youtube.com; hxxps://spb.tele2.ru; hxxps://www.quelle.ru; hxxps://linknotification.com; hxxps://www.urdututs.com; hxxps://biqle.ru; hxxps://oneamour.com; hxxps://www.ozon.ru; hxxps://wowjp.net; hxxps://emporiomusicfest.ru; hxxps://www.babyblog.ru; hxxps://offerzone.click; hxxps://alafor.ru; hxxps://pushalias.com; hxxps://www.mirf.ru; hxxps://woman-team.ru; hxxps://mjusli.ru; hxxps://womenknow.ru; hxxps://psyhoday.ru; hxxps://www.avito.ru; hxxps://hdlava.me; hxxps://mail-notification.info; hxxps://rutube.ru; hxxps://www.audiomania.ru; hxxps://v-s.mobi; hxxps://saint-petersburg.irr.ru; hxxps://instagramm.ru; hxxps://gruzovichkof.ru; hxxps://youla.ru; hxxps://directx.biz; hxxps://itmaster.guru; hxxps://hescaltinhen.club; hxxps://mp3tour.bid; hxxps://mail.google.com; hxxps://qmusic.cc; hxxps://zakachal.com; hxxps://gdehranit.ru; hxxps://www.allmmorpg.ru; hxxps://youfio.ru; hxxps://stopgame.ru; hxxps://showjet.ru; hxxps://www.meleon.ru; hxxps://filmets.net; hxxps://docs.ozon.ru; hxxps://www.igromania.ru; hxxps://fotostrana.ru; hxxps://vktopface.ru; hxxps://mp3livelisten.ru; hxxps://iprofiles.ru; hxxps://www.heavy-r.com; hxxps://aizel.ru; hxxps://ss1.ru; hxxps://goodmuzika.ru; hxxps://amwine.ru; hxxps://www.ulmart.ru; hxxps://spnews.biz; hxxps://www.wildberries.ru; hxxps://date-release.info; hxxps://yc9r.risinglesch.info; hxxps://xn--b1algemdcsb.xn--p1ai; hxxps://vgolovenet1591705473285.face-push.com; hxxps://spb.careerist.ru; hxxps://www.dreamstime.com; hxxps://turbobith.net; hxxps://liplock.space; hxxps://windows-programcom15989521355260.mp3bars.com; hxxps://kmsauto-net.ru; hxxps://www.kiabi.ru; hxxps://www.instagram.com; hxxps://dagmo.ru
    FF HomepageOverride: Mozilla\Firefox\Profiles\nahd6ha2.default -> Enabled: homepage@mail.ru
    CHR Notifications: Default -> hxxp://pioneer-service.ru; hxxp://pornolab.net; hxxps://biqle.ru; hxxps://lodercxz.ru; hxxps://ru.wowhead.com; hxxps://spb.worki.ru; hxxps://www.warcraftlogs.com; hxxps://www.wowprogress.com
    C:\Users\demangel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogmclhffdfjphnjlikiijmdjpjlfodk
    U1 aswbdisk; no ImagePath
    2020-11-03 02:52 - 2020-11-21 11:31 - 000000000 __SHD C:\ProgramData\Doctor Web
    Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.4.154.333 - AVAST Software) Hidden
    ShellIconOverlayIdentifiers: [                    IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{FB8BD3AB-96AE-4F63-81FF-80ECCC4195ED}] => (Allow) LPort=57209
    FirewallRules: [{B2B0E128-B630-4257-826B-93FC12F23C7F}] => (Allow) LPort=57209
    FirewallRules: [{68AD5414-84CE-4B66-929C-2093E8E51D20}] => (Block) LPort=139
    FirewallRules: [{F270C91C-77E4-4A27-9189-661D08361D06}] => (Block) LPort=445
    FirewallRules: [{A530FD05-5E3C-44E0-8A2F-ACE91DA5B059}] => (Block) LPort=445
    FirewallRules: [{89635E07-9C3D-44E5-BA63-0B9DB2F6F8E6}] => (Block) LPort=139
    FirewallRules: [{8223D7F8-2BA6-405C-86F9-B99D26A2716C}] => (Allow) LPort=3389
    FirewallRules: [{D5E6472A-F1CC-4563-8B76-FB5841563AE6}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{2606FB0D-7A40-4BE6-BB74-C1CDBF337E0E}] => (Block) LPort=445
    FirewallRules: [{89C9DC60-1D18-4A62-A474-39C0A1BE43D3}] => (Block) LPort=445
    FirewallRules: [{8B28CF7D-A596-4EF1-865A-79690605A178}] => (Block) LPort=139
    FirewallRules: [{EA0E9614-663C-4A2C-B96F-179EC84AAEFF}] => (Block) LPort=139
    FirewallRules: [{707F3D46-0F94-46E9-8799-3B98FF650B5F}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

На этот раз не нужно запускать AVZ. Выполняйте инструкции в точности как написано:

Скопировать, запустить FRST64.exe, нажать Fix.

Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От borodise
      Добрый день!
      При попытке установки  kis21.2.16.590ru_25433 не запускается процесс инсталляции
      В безопасном режиме окно запускается, но уведомляет о том, что установка в безопасном режиме невозможна
      kavremover предустановленных версий Kaspersky не нашел
      Отключение SmartScreen, защитника Windows не помогает
      Было обнаружено отсутствие доступа на forum,kasperskckub.ru
      После прогонки Dr.Web CureIt! выявлено изменение файла hosts, где ряд сайтов заменялись на 127.0.0.1. Dr.Web CureIt! исправил 
      В KVRT кнопка "начать проверку" недоступна
      Установка KIS так и не представляется возможным
      Заранее спасибо!
       
      CollectionLog-2020.12.01-16.32.zip
    • От fegob
      Здравствуйте
      На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 
      Пароль на архив с вирусом: Kaspersky
      Addition.txt FRST.txt CollectionLog-2020.11.30-22.02.zip Virus.7z
    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • От AndrewCott
      Доброго дня!
       
      Попались на вирус шифровальщик. Логи приложил. 
      17.11 была первая волна. 19.11 пронеслась ещё. Ещё не всё зашифровал. Помогите. 
      Спасибо. 
      Addition.txt FRST.txt Файлы злоумышленников.rar
    • От rickeyprice
      Не открывается проверка через kvrt, не открывается установщик total security
      Log:
       
      CollectionLog-2020.11.02-13.49.zip
×
×
  • Создать...