Oleg__V Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Запускается и закрывается сразу установщик Kaspersky и не запускается KVP, так по-моему, называется. KVP просто не реагирует на кнопку "сканировать". Не нашел, как прикрепить лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Через 40 минут прошла регистрация CollectionLog-2020.11.25-13.50.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Отправил quarantine.zip, FRST.txt и Addition.txt прилагаю. FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Не смог отправить quarantine.zip из-за присутствующего внутри вируса. Все почтовые сервисы блокируют отправку. Что делать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: G - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {28310c0c-5513-11e4-ad70-00215dc0458a} - G:\AutoRun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3922a79a-e736-11e7-aea4-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3922a828-e736-11e7-aea4-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3bf91181-9105-11e4-adac-00f1d000f1d0} - F:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {75c1a562-d241-11e5-b2d6-00214ff81c37} - G:\AutoRun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {b3fda830-81eb-11e4-bf68-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {b3fda963-81eb-11e4-bf68-00214ff81c37} - F:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {d972e022-9871-11e7-b9f8-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {d972e034-9871-11e7-b9f8-00214ff81c37} - G:\Autorun.exe GroupPolicy: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {1006182B-0BE3-4779-A04B-D151455F3812} - \tFhvygztNQVmokWetdU2 -> No File <==== ATTENTION Task: {290C22A4-BB30-4AA1-90C2-8ECE1CA2BE63} - \JLSktnhopmhFxt -> No File <==== ATTENTION Task: {2B6ABC3E-98EF-4B9B-AF13-549CB8C110D6} - \VKDJ -> No File <==== ATTENTION Task: {35D03BA4-6BB1-47A2-9400-C4A371F1290A} - \sghqyhrlThDFsL -> No File <==== ATTENTION Task: {3A1089DE-F81E-4216-9243-DDEBD9F6BB88} - \QNMJEtYKScqTlLB2 -> No File <==== ATTENTION Task: {5E7F97C3-5298-4A6F-910E-CE12ECF46C11} - \iYpFKEiVDvRjPkgmm2 -> No File <==== ATTENTION Task: {6BDED0CD-33B5-4157-A634-1F909EE0A947} - \jprGENzAjCTPFmVjPUE2 -> No File <==== ATTENTION Task: {6DEF8450-3580-455A-9AF8-F4B126370DE6} - \ZMrGvJoIlIWQcfO2 -> No File <==== ATTENTION Task: {FAC88BFA-C656-4990-BA96-9CA9190CB26A} - System32\Tasks\UninstMiniWifi => C:\Users\52A0~1\AppData\Local\Temp\MU23E5.bat <==== ATTENTION Task: {FD00F046-0283-45E9-A349-BDF871151CB6} - \MHsfjoHBjBJoAwMyz2 -> No File <==== ATTENTION C:\Users\Sobol\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh 2020-10-27 15:04 - 2020-10-27 15:05 - 000000000 ____D C:\ProgramData\915099659527810 2020-11-25 13:03 - 2020-10-25 22:13 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [155] AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] Toolbar: HKU\S-1-5-21-2714697897-2121233862-1541508026-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FirewallRules: [{1135D349-966D-40C3-93C1-52D0B08BB98D}] => (Allow) LPort=2869 FirewallRules: [{75393726-4577-4924-9237-1B9EF117C7E1}] => (Allow) LPort=1900 FirewallRules: [{EBA6B8EF-38CD-460D-AEBB-582BDD633348}] => (Block) LPort=139 FirewallRules: [{5780C31C-0C55-43D4-9717-0038FC5F5C6F}] => (Block) LPort=445 FirewallRules: [{D6DFE9E4-E7CF-4EBA-95C1-E3931A5BB380}] => (Block) LPort=445 FirewallRules: [{8E954998-14CD-4058-9D87-EF50D21AED15}] => (Block) LPort=139 FirewallRules: [{987CC326-D787-413E-9EF1-1C145ECD4658}] => (Allow) LPort=3389 FirewallRules: [{E4FA5946-E386-4429-A1E0-A28D3562F0F6}] => (Allow) LPort=3389 FirewallRules: [{488C3195-F394-40A8-980D-C5BCE5E64DAF}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{A0C70B5C-86A4-409A-8A59-0BB01EB2B629}] => (Block) LPort=139 FirewallRules: [{03036103-5C3E-433E-BA1B-6FD65CDB9BBD}] => (Block) LPort=139 FirewallRules: [{AA6BD38C-AE58-4651-852A-D91D20DB403C}] => (Block) LPort=445 FirewallRules: [{BC0C4FB4-5BE9-41B1-B306-F53EAC1D2BCC}] => (Block) LPort=445 FirewallRules: [{5B4ECE54-2E27-42A4-8DFE-1EEA1B710DD5}] => (Allow) LPort=80 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 1 минуту назад, Oleg__V сказал: почтовые сервисы блокируют отправку. Что делать? Отбой, спасибо за информацию. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Что сейчас с проблемой? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Установщик Kaspersky выдает сообщение - системе не удаётся найти указанный путь. KVRT - ошибка инициализации сервисов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Удалите старые и соберите новые логи FRST, предварительно отметив галочкой пункт "90 Days Files". Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Сделал FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 16 минут назад, Oleg__V сказал: Установщик Kaspersky выдает сообщение Какую версию ставите? Видны следы Kaspersky Security Scan. Пройдитесь в безопасном режиме утилитой очистки и пробуйте ещё раз. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Oleg__V Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Файл установщика ks4.021.2.16.590ru_25000.exe У меня безопасный режим не работал - комп из него сразу загружался в нормальный. Сейчас попробую, может изменилось. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 1 минуту назад, Oleg__V сказал: Файл установщика ks4.021.2.16.590ru_25000.exe Словами можете сказать какую именно версию ставите? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения