Oleg__V 0 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Запускается и закрывается сразу установщик Kaspersky и не запускается KVP, так по-моему, называется. KVP просто не реагирует на кнопку "сканировать". Не нашел, как прикрепить лог. Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Через 40 минут прошла регистрация CollectionLog-2020.11.25-13.50.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Отправил quarantine.zip, FRST.txt и Addition.txt прилагаю. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Не смог отправить quarantine.zip из-за присутствующего внутри вируса. Все почтовые сервисы блокируют отправку. Что делать? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: G - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {28310c0c-5513-11e4-ad70-00215dc0458a} - G:\AutoRun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3922a79a-e736-11e7-aea4-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3922a828-e736-11e7-aea4-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {3bf91181-9105-11e4-adac-00f1d000f1d0} - F:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {75c1a562-d241-11e5-b2d6-00214ff81c37} - G:\AutoRun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {b3fda830-81eb-11e4-bf68-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {b3fda963-81eb-11e4-bf68-00214ff81c37} - F:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {d972e022-9871-11e7-b9f8-00214ff81c37} - G:\Autorun.exe HKU\S-1-5-21-2714697897-2121233862-1541508026-1001\...\MountPoints2: {d972e034-9871-11e7-b9f8-00214ff81c37} - G:\Autorun.exe GroupPolicy: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {1006182B-0BE3-4779-A04B-D151455F3812} - \tFhvygztNQVmokWetdU2 -> No File <==== ATTENTION Task: {290C22A4-BB30-4AA1-90C2-8ECE1CA2BE63} - \JLSktnhopmhFxt -> No File <==== ATTENTION Task: {2B6ABC3E-98EF-4B9B-AF13-549CB8C110D6} - \VKDJ -> No File <==== ATTENTION Task: {35D03BA4-6BB1-47A2-9400-C4A371F1290A} - \sghqyhrlThDFsL -> No File <==== ATTENTION Task: {3A1089DE-F81E-4216-9243-DDEBD9F6BB88} - \QNMJEtYKScqTlLB2 -> No File <==== ATTENTION Task: {5E7F97C3-5298-4A6F-910E-CE12ECF46C11} - \iYpFKEiVDvRjPkgmm2 -> No File <==== ATTENTION Task: {6BDED0CD-33B5-4157-A634-1F909EE0A947} - \jprGENzAjCTPFmVjPUE2 -> No File <==== ATTENTION Task: {6DEF8450-3580-455A-9AF8-F4B126370DE6} - \ZMrGvJoIlIWQcfO2 -> No File <==== ATTENTION Task: {FAC88BFA-C656-4990-BA96-9CA9190CB26A} - System32\Tasks\UninstMiniWifi => C:\Users\52A0~1\AppData\Local\Temp\MU23E5.bat <==== ATTENTION Task: {FD00F046-0283-45E9-A349-BDF871151CB6} - \MHsfjoHBjBJoAwMyz2 -> No File <==== ATTENTION C:\Users\Sobol\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh 2020-10-27 15:04 - 2020-10-27 15:05 - 000000000 ____D C:\ProgramData\915099659527810 2020-11-25 13:03 - 2020-10-25 22:13 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [155] AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] Toolbar: HKU\S-1-5-21-2714697897-2121233862-1541508026-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FirewallRules: [{1135D349-966D-40C3-93C1-52D0B08BB98D}] => (Allow) LPort=2869 FirewallRules: [{75393726-4577-4924-9237-1B9EF117C7E1}] => (Allow) LPort=1900 FirewallRules: [{EBA6B8EF-38CD-460D-AEBB-582BDD633348}] => (Block) LPort=139 FirewallRules: [{5780C31C-0C55-43D4-9717-0038FC5F5C6F}] => (Block) LPort=445 FirewallRules: [{D6DFE9E4-E7CF-4EBA-95C1-E3931A5BB380}] => (Block) LPort=445 FirewallRules: [{8E954998-14CD-4058-9D87-EF50D21AED15}] => (Block) LPort=139 FirewallRules: [{987CC326-D787-413E-9EF1-1C145ECD4658}] => (Allow) LPort=3389 FirewallRules: [{E4FA5946-E386-4429-A1E0-A28D3562F0F6}] => (Allow) LPort=3389 FirewallRules: [{488C3195-F394-40A8-980D-C5BCE5E64DAF}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{A0C70B5C-86A4-409A-8A59-0BB01EB2B629}] => (Block) LPort=139 FirewallRules: [{03036103-5C3E-433E-BA1B-6FD65CDB9BBD}] => (Block) LPort=139 FirewallRules: [{AA6BD38C-AE58-4651-852A-D91D20DB403C}] => (Block) LPort=445 FirewallRules: [{BC0C4FB4-5BE9-41B1-B306-F53EAC1D2BCC}] => (Block) LPort=445 FirewallRules: [{5B4ECE54-2E27-42A4-8DFE-1EEA1B710DD5}] => (Allow) LPort=80 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 1 минуту назад, Oleg__V сказал: почтовые сервисы блокируют отправку. Что делать? Отбой, спасибо за информацию. Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Сделал Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Установщик Kaspersky выдает сообщение - системе не удаётся найти указанный путь. KVRT - ошибка инициализации сервисов. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 Удалите старые и соберите новые логи FRST, предварительно отметив галочкой пункт "90 Days Files". Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Сделал FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 16 минут назад, Oleg__V сказал: Установщик Kaspersky выдает сообщение Какую версию ставите? Видны следы Kaspersky Security Scan. Пройдитесь в безопасном режиме утилитой очистки и пробуйте ещё раз. Ссылка на сообщение Поделиться на другие сайты
Oleg__V 0 Опубликовано 25 ноября, 2020 Автор Share Опубликовано 25 ноября, 2020 Файл установщика ks4.021.2.16.590ru_25000.exe У меня безопасный режим не работал - комп из него сразу загружался в нормальный. Сейчас попробую, может изменилось. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 284 Опубликовано 25 ноября, 2020 Share Опубликовано 25 ноября, 2020 1 минуту назад, Oleg__V сказал: Файл установщика ks4.021.2.16.590ru_25000.exe Словами можете сказать какую именно версию ставите? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения