[РЕШЕНО] Не устанавливается KTS, не запускается KVRT

[Амир]

Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)

 

К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав

CollectionLog-2020.11.30-22.46.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[Амир]

Второй раз выручаете, спасибо)

 

Полученный ответ: 

Файл сохранён как	201130_210325_quarantine_5fc55e1d81adb.zip
Размер файла	45402690
MD5	ed98ab4b5491ed755a2b694123154282

Логи прикрепляю

CollectionLog-2020.12.01-00.06.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Амир]

data.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{8E868E8F-8EFB-4166-8B85-206F53990FED}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [UDP Query User{5EBF8CD8-2B14-4D66-A07B-BEAB41195B47}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [TCP Query User{2365B7EC-5FBF-419F-AF8B-FCC6B008B726}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => No File
FirewallRules: [UDP Query User{2D34BD47-3BAD-4278-ADA3-020E2382651E}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => No File
FirewallRules: [{5F625EEE-F405-41E1-9BC4-FC5AD1F37CCE}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [{13FF0BF0-FD56-4CF9-A68E-4E768028DC46}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Амир]

Fixlog.txt

[thyrex]

Проблема решена?

[Амир]

Теперь другая ошибка при установке

 

KVRT запустился, угроз не обнаружил

 

[thyrex]

6 минут назад, Амир сказал:

Теперь другая ошибка при установке

Что пишет по нажатию "Узнать больше"?

[Амир]

после использования kavremover и трех перезагрузок установился)

спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Амир]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 01.12.2020 20:43:08
Path starting: C:\Users\Амир\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Амир
VersionXML: 8.36is-01.12.2020
___________________________________________________________________________

Windows 10(6.3.18363) (x64) CoreSingleLanguage Версия: 1909 Lang: Russian(0419)
Дата установки ОС: 02.06.2020 17:19:49
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 1181 мин.
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe
Системный диск: ? ФС: [NTFS] Емкость: [475.8 Гб] Занято: [162.7 Гб] Свободно: [313.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1198.18362.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Total Security (включен и обновлен)
Kaspersky Total Security (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
Kaspersky Total Security
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.2.16.590
Kaspersky Password Manager v.9.0.2.767
-------------------------- [ SecurityUtilities ] --------------------------
AdGuard v.7.5.3430.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11029.20108 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.20.084.0426.0007 Внимание! Скачать обновления
Python 3.8.5 (32-bit) v.3.8.5150.0 Внимание! Скачать обновления
Steam v.2.10.91.91
Intel® Driver & Support Assistant v.20.10.42.5
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00
-------------------------- [ IMAndColloborate ] ---------------------------
Discord v.0.0.308
Microsoft Teams v.1.3.00.26064 Внимание! Скачать обновления
Zoom v.5.1 Внимание! Скачать обновления
Skype, версия 8.66 v.8.66
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.2.16.590
TunnelBear v.4.3.4.0 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
Windscribe v.1.83 Build 20
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.453
------------------------------- [ Browser ] -------------------------------
Google Chrome v.87.0.4280.66
Microsoft Edge v.87.0.664.47 Внимание! Скачать обновления
Yandex (All Users) v.20.11.2.80 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Adguard Service (Adguard Service) - Служба работает
C:\Program Files (x86)\Adguard\AdguardSvc.exe v.7.5.3430.0
Kaspersky Anti-Virus Service 21.2 (AVP21.2) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\avp.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\avpui.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksde.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksdeui.exe v.21.2.16.590
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 

 

а так и должно быть два антивируса KTS?

[thyrex]

Антивирус один, два процесса.

 

Установите рекомендуемые в логе обновления программ, и на этом закончим.

[Амир]

спасибо еще раз!