nikita_shs Опубликовано 23 ноября, 2020 Опубликовано 23 ноября, 2020 Здравствуйте, не устанавливается антивирус, судя по диспетчеру задач он после открытия сразу закрывается, нашел в файле хост заблокированные сайт антивирусов и форумов, все почистил, доктором вебом удалил вирусы но касперский все равно не устанавливается, также в стандартном антивирусе виндовс в исключении находится 3 папки, которые никак не удаляются от туда Прикладываю логи CollectionLog-2020.11.23-19.55.zip
thyrex Опубликовано 23 ноября, 2020 Опубликовано 23 ноября, 2020 Выполните скрипт в AVZ из папки Autologger { Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders: TStringList; procedure FillList; begin PD_folders:= TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('Doctor Web'); PF_folders:= TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('Zaxar'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders:= TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path: string; AFL: TStringList); var i: integer; A: integer; s: string; r: boolean; begin for i:= 0 to AFL.Count - 1 do begin fname:= NormalDir(path + AFL[i]); r:= False; if DirectoryExists(fname) then begin s:= 'Found ' + fname + ' ('; A:= GetAttr(fname); if A and 4 = 4 then begin r:= True; s:= s + 'S'; end; if A and 2 = 2 then begin r:= True; s:= s + 'H'; end; s:= s + 'D)'; AddToLog(s); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); if r then FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin Clearlog; FillList; ProgramData:= GetEnvironmentVariable('ProgramData') + '\'; ProgramFiles:= NormalDir('%PF%'); ProgramFiles86:= NormalDir('%PF% (x86)'); Del_folders(ProgramData, PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun') then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun'); if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun') then begin ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); end; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); PD_folders.Free; PF_folders.Free; O_folders.Free; end; begin AV_block_remove; fname:= ProgramData + 'RDPWinst.exe'; if FileExists(fname) then DeleteFile(fname); DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); ExecuteSysClean; SaveLog(GetAVZDirectory +'AV_block_remove.log'); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
nikita_shs Опубликовано 23 ноября, 2020 Автор Опубликовано 23 ноября, 2020 CollectionLog-2020.11.23-21.30.zip новые логи
thyrex Опубликовано 23 ноября, 2020 Опубликовано 23 ноября, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
thyrex Опубликовано 23 ноября, 2020 Опубликовано 23 ноября, 2020 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490] FirewallRules: [TCP Query User{2879653D-6CE2-4F4C-8D72-5ADD9DB5BEF9}C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe => No File FirewallRules: [UDP Query User{C8FB68BE-F484-4868-8FD4-030E53116C30}C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands 3\oakgame\binaries\win64\borderlands3.exe => No File FirewallRules: [{F6A766EA-D749-4B4C-B184-FC24A52D6C6C}] => (Allow) C:\Program Files\Новая папка\360\Total Security\360TsLiveUpd.exe => No File FirewallRules: [{7FAA1484-B42C-4E2F-808B-5A4EF71D1147}] => (Allow) C:\Program Files\Новая папка\360\Total Security\360TsLiveUpd.exe => No File Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
nikita_shs Опубликовано 24 ноября, 2020 Автор Опубликовано 24 ноября, 2020 Да, все заработало, большое спасибо
thyrex Опубликовано 24 ноября, 2020 Опубликовано 24 ноября, 2020 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Процитируйте содержимое файла в своем следующем сообщении.
nikita_shs Опубликовано 25 ноября, 2020 Автор Опубликовано 25 ноября, 2020 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 25.11.2020 13:04:20 Path starting: C:\Users\Nikita\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Nikita VersionXML: 8.34is-25.11.2020 ___________________________________________________________________________ Windows 10(6.3.19041) (x64) Professional Версия: 2004 Lang: Russian(0419) Дата установки ОС: 24.06.2020 18:09:30 Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 37723 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Users\Nikita\AppData\Local\Programs\Opera GX\Launcher.exe Системный диск: ? ФС: [NTFS] Емкость: [468.7 Гб] Занято: [179.9 Гб] Свободно: [288.8 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.630.19041.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2010 x86 v.14.0.4763.1000 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) Kaspersky Anti-Virus (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Anti-Virus v.21.2.16.590 -------------------------- [ SecurityUtilities ] -------------------------- Process Hacker 2.39 (r124) v.2.39.0.124 --------------------------- [ OtherUtilities ] ---------------------------- Яндекс.Диск v.3.2.1.4113 Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office для малого бизнеса 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Steam v.2.10.91.91 Epic Games Launcher v.1.1.279.0 Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Small Business Basics 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления TreeSize Free V4.4.2 v.4.4.2 -------------------------- [ IMAndColloborate ] --------------------------- Zoom v.5.1 Внимание! Скачать обновления Telegram Desktop version 2.4.7 v.2.4.7 ---------------------------- [ ProxyAndVPNs ] ----------------------------- Kaspersky Secure Connection v.21.2.16.590 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!. --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat 5.0 v.5.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC. Adobe Flash Player 32 PPAPI v.32.0.0.453 ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 71.0.3770.323 v.71.0.3770.323 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Yandex v.20.11.1.81 Microsoft Edge v.87.0.664.47 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 21.2 (AVP21.2) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.2\avp.exe v.21.2.16.590 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.2\avpui.exe v.21.2.16.590 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksde.exe v.21.2.16.590 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksdeui.exe v.21.2.16.590 Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- WindowsRar 5.72.0.5625 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! ----------------------------- [ End of Log ] ------------------------------
thyrex Опубликовано 25 ноября, 2020 Опубликовано 25 ноября, 2020 Цитата --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office для малого бизнеса 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Small Business Basics 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления -------------------------- [ IMAndColloborate ] --------------------------- Zoom v.5.1 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat 5.0 v.5.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC. ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 71.0.3770.323 v.71.0.3770.323 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- WindowsRar 5.72.0.5625 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Выполните рекомендованное, и на этом закончим.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти