Перейти к содержанию

не запускается Kaspersky virus removal tool


Рекомендуемые сообщения

Проблема началась со скачивания vpn - proton, далее заметил тормоза и решил удалить - просканировать. Но не тут то было- ваши сайты не открывались, даже доктор веб. Но я при помощи телефона скачал доктор веб. Приложу частично скрины. Ваша прогармма по прежнему не запускается. Мой компьютер хотели преехватиь и уничтожить, был найден radmin

 

CollectionLog-2020.11.21-16.25.zip

Спойлер

 

photo_2020-11-21_16-29-11.jpg

photo_2020-11-21_16-29-10.jpg

 

 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to не запускается Kaspersky virus removal tool

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  FSResetSecurity(fname);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
57 минут назад, александр2020 сказал:

Защитник виндоус нашел еще пару троянов

Используйте лицензионный софт, и ничего подобного обнаруживаться не будет.

Ссылка на сообщение
Поделиться на другие сайты

какие мои дальнейшие действия ? вы поможете? причина обращения , плохая скорость интернета у друга - решил просто скачать проверить бесплатную VPN. И нанес большой вред компьютеру.

Изменено пользователем александр2020
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
    HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2737445946-1509225069-5718406-1001\...\Policies\Explorer: [DisallowRun] 1
    Task: {29c91c1d-69f8-449a-808b-4e0bbc2f217c} - no filepath
    FF user.js: detected! => C:\Users\demangel\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2020-10-21]
    FF Notifications: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://taxi.yandex.ru; hxxps://www.porndig.com; hxxps://www.curse.com; hxxps://loopit.in; hxxps://bethplanet.ru; hxxps://key.sendpulse.com; hxxps://lifehacker.ru; hxxps://macdiggerru.push.world; hxxps://mir24.tv; hxxps://www.youtube.com; hxxps://spb.tele2.ru; hxxps://www.quelle.ru; hxxps://linknotification.com; hxxps://www.urdututs.com; hxxps://biqle.ru; hxxps://oneamour.com; hxxps://www.ozon.ru; hxxps://wowjp.net; hxxps://emporiomusicfest.ru; hxxps://www.babyblog.ru; hxxps://offerzone.click; hxxps://alafor.ru; hxxps://pushalias.com; hxxps://www.mirf.ru; hxxps://woman-team.ru; hxxps://mjusli.ru; hxxps://womenknow.ru; hxxps://psyhoday.ru; hxxps://www.avito.ru; hxxps://hdlava.me; hxxps://mail-notification.info; hxxps://rutube.ru; hxxps://www.audiomania.ru; hxxps://v-s.mobi; hxxps://saint-petersburg.irr.ru; hxxps://instagramm.ru; hxxps://gruzovichkof.ru; hxxps://youla.ru; hxxps://directx.biz; hxxps://itmaster.guru; hxxps://hescaltinhen.club; hxxps://mp3tour.bid; hxxps://mail.google.com; hxxps://qmusic.cc; hxxps://zakachal.com; hxxps://gdehranit.ru; hxxps://www.allmmorpg.ru; hxxps://youfio.ru; hxxps://stopgame.ru; hxxps://showjet.ru; hxxps://www.meleon.ru; hxxps://filmets.net; hxxps://docs.ozon.ru; hxxps://www.igromania.ru; hxxps://fotostrana.ru; hxxps://vktopface.ru; hxxps://mp3livelisten.ru; hxxps://iprofiles.ru; hxxps://www.heavy-r.com; hxxps://aizel.ru; hxxps://ss1.ru; hxxps://goodmuzika.ru; hxxps://amwine.ru; hxxps://www.ulmart.ru; hxxps://spnews.biz; hxxps://www.wildberries.ru; hxxps://date-release.info; hxxps://yc9r.risinglesch.info; hxxps://xn--b1algemdcsb.xn--p1ai; hxxps://vgolovenet1591705473285.face-push.com; hxxps://spb.careerist.ru; hxxps://www.dreamstime.com; hxxps://turbobith.net; hxxps://liplock.space; hxxps://windows-programcom15989521355260.mp3bars.com; hxxps://kmsauto-net.ru; hxxps://www.kiabi.ru; hxxps://www.instagram.com; hxxps://dagmo.ru
    FF HomepageOverride: Mozilla\Firefox\Profiles\nahd6ha2.default -> Enabled: homepage@mail.ru
    CHR Notifications: Default -> hxxp://pioneer-service.ru; hxxp://pornolab.net; hxxps://biqle.ru; hxxps://lodercxz.ru; hxxps://ru.wowhead.com; hxxps://spb.worki.ru; hxxps://www.warcraftlogs.com; hxxps://www.wowprogress.com
    C:\Users\demangel\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogmclhffdfjphnjlikiijmdjpjlfodk
    U1 aswbdisk; no ImagePath
    2020-11-03 02:52 - 2020-11-21 11:31 - 000000000 __SHD C:\ProgramData\Doctor Web
    Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.4.154.333 - AVAST Software) Hidden
    ShellIconOverlayIdentifiers: [                    IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{FB8BD3AB-96AE-4F63-81FF-80ECCC4195ED}] => (Allow) LPort=57209
    FirewallRules: [{B2B0E128-B630-4257-826B-93FC12F23C7F}] => (Allow) LPort=57209
    FirewallRules: [{68AD5414-84CE-4B66-929C-2093E8E51D20}] => (Block) LPort=139
    FirewallRules: [{F270C91C-77E4-4A27-9189-661D08361D06}] => (Block) LPort=445
    FirewallRules: [{A530FD05-5E3C-44E0-8A2F-ACE91DA5B059}] => (Block) LPort=445
    FirewallRules: [{89635E07-9C3D-44E5-BA63-0B9DB2F6F8E6}] => (Block) LPort=139
    FirewallRules: [{8223D7F8-2BA6-405C-86F9-B99D26A2716C}] => (Allow) LPort=3389
    FirewallRules: [{D5E6472A-F1CC-4563-8B76-FB5841563AE6}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{2606FB0D-7A40-4BE6-BB74-C1CDBF337E0E}] => (Block) LPort=445
    FirewallRules: [{89C9DC60-1D18-4A62-A474-39C0A1BE43D3}] => (Block) LPort=445
    FirewallRules: [{8B28CF7D-A596-4EF1-865A-79690605A178}] => (Block) LPort=139
    FirewallRules: [{EA0E9614-663C-4A2C-B96F-179EC84AAEFF}] => (Block) LPort=139
    FirewallRules: [{707F3D46-0F94-46E9-8799-3B98FF650B5F}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

На этот раз не нужно запускать AVZ. Выполняйте инструкции в точности как написано:

Скопировать, запустить FRST64.exe, нажать Fix.

Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • От AndrewCott
      Доброго дня!
       
      Попались на вирус шифровальщик. Логи приложил. 
      17.11 была первая волна. 19.11 пронеслась ещё. Ещё не всё зашифровал. Помогите. 
      Спасибо. 
      Addition.txt FRST.txt Файлы злоумышленников.rar
    • От rickeyprice
      Не открывается проверка через kvrt, не открывается установщик total security
      Log:
       
      CollectionLog-2020.11.02-13.49.zip
    • От александр2020
      Проблема началась после установки и использования iobit утилит для чистки и оптимизации компьютера. Проблему обнаружил еще в четверг, в простое видеокарта грелась до 80с. Я почистил компьютер, вызвал мастера, термопасту поменяли. Однако проблема осталась. Вегда использовал KVRT , но в этот раз вирусы мне не давали возможность даже запустить и найти его, точно так же как и dr. web cureit. Я сделал по хитрому, скачал на телефоне dr.web, загрузил потом на компьютер и удалил найденные вирусы. Потом скачал утилиту KVRT, она уже запускалась, но проверку делать отказывается, не нажимается. Я уверен что вирусы все еще какие то остались, они себя не выдают
      CollectionLog-2020.10.24-18.04.zip
    • От fff500
      Здравствуйте!
      Сам по себе меняется ДНС. Галочка переставляется с выбранного мной "автоматически" тоже сама по себе.
      Недавно обнаружил скрытый майнер 'WMWare', который грузил процессор до 100%. Удалил его при помощи Аваста. Нагрузка процессора нормализовалась. Возможно, изменение ДНС тоже связано с этим вирусом.
      Логи приложил.
      Спасибо.
      CollectionLog-2020.10.16-01.45.zip
×
×
  • Создать...