Перейти к содержанию

[РЕШЕНО] Не устанавливается KTS, не запускается KVRT


Рекомендуемые сообщения

Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)

 

К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав

CollectionLog-2020.11.30-22.46.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Второй раз выручаете, спасибо)

 

Полученный ответ: 

Файл сохранён как 201130_210325_quarantine_5fc55e1d81adb.zip
Размер файла 45402690
MD5 ed98ab4b5491ed755a2b694123154282

Логи прикрепляю

CollectionLog-2020.12.01-00.06.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{8E868E8F-8EFB-4166-8B85-206F53990FED}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [UDP Query User{5EBF8CD8-2B14-4D66-A07B-BEAB41195B47}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => No File
FirewallRules: [TCP Query User{2365B7EC-5FBF-419F-AF8B-FCC6B008B726}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => No File
FirewallRules: [UDP Query User{2D34BD47-3BAD-4278-ADA3-020E2382651E}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => No File
FirewallRules: [{5F625EEE-F405-41E1-9BC4-FC5AD1F37CCE}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [{13FF0BF0-FD56-4CF9-A68E-4E768028DC46}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 01.12.2020 20:43:08
Path starting: C:\Users\Амир\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Амир
VersionXML: 8.36is-01.12.2020
___________________________________________________________________________

Windows 10(6.3.18363) (x64) CoreSingleLanguage Версия: 1909 Lang: Russian(0419)
Дата установки ОС: 02.06.2020 17:19:49
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 1181 мин.
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [475.8 Гб] Занято: [162.7 Гб] Свободно: [313.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1198.18362.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Total Security (включен и обновлен)
Kaspersky Total Security (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
Kaspersky Total Security
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.2.16.590
Kaspersky Password Manager v.9.0.2.767
-------------------------- [ SecurityUtilities ] --------------------------
AdGuard v.7.5.3430.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11029.20108 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.20.084.0426.0007 Внимание! Скачать обновления
Python 3.8.5 (32-bit) v.3.8.5150.0 Внимание! Скачать обновления
Steam v.2.10.91.91
Intel® Driver & Support Assistant v.20.10.42.5
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00
-------------------------- [ IMAndColloborate ] ---------------------------
Discord v.0.0.308
Microsoft Teams v.1.3.00.26064 Внимание! Скачать обновления
Zoom v.5.1 Внимание! Скачать обновления
Skype, версия 8.66 v.8.66
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.2.16.590
TunnelBear v.4.3.4.0 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
Windscribe v.1.83 Build 20
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.453
------------------------------- [ Browser ] -------------------------------
Google Chrome v.87.0.4280.66
Microsoft Edge v.87.0.664.47 Внимание! Скачать обновления
Yandex (All Users) v.20.11.2.80 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Adguard Service (Adguard Service) - Служба работает
C:\Program Files (x86)\Adguard\AdguardSvc.exe v.7.5.3430.0
Kaspersky Anti-Virus Service 21.2 (AVP21.2) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\avp.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\avpui.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksde.exe v.21.2.16.590
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.2\ksdeui.exe v.21.2.16.590
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 

 

а так и должно быть два антивируса KTS?

Ссылка на сообщение
Поделиться на другие сайты

Антивирус один, два процесса.

 

Установите рекомендуемые в логе обновления программ, и на этом закончим.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Nikolay65
      Здравствуйте! 
      приобрел KTS, скачал с сайта файл kts21.2.16.590abru_26438.  Когда я открываю ЕХЕ файл, в ответ ничего не происходит. Пытаюсь запустить KVRT, но после нажатия кнопки "начать проверку" ничего не происходит. Скачать dr.web cureit не получается, так как сразу закрывается страница браузера. Я видел здесь уже похожую тему. В ней парню помогли пофиксить эту проблему с помощью Fabar recovery. Может и мне поможет?
       
      CollectionLog-2021.03.06-15.13.zip
    • От ItzAMEGA
      Здравствуйте!
       
      Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.
      P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.
       
      Заранее спасибо.

      отчет.txt
    • От eugene_peeers
      Доброго времени суток уважаемые форумчане,столкнулся с проблемой,не запускается Установщик Kaspersky Total Security.
      Были вирусы, полностью вычистил KVRT не помогло.
      CollectionLog-2021.03.02-22.58.zip
    • От bakeryamaker
      Добрый вечер! 
      Рассказываю ситуацию : подхватил вирус на свой ноутбук, открыв папку с вирусом, антивирус сразу заругался, вылезло насколько окон о том, что "...файл помещен в карантин..."
      Я подумал, что можно не волноваться (моя глупость) ещё намного поработал, и успешно выключил ноутбук. 
      После последующего запуска системы, решил зайти в антивирус, проверить ноутбук, мало ли что осталось. Но антивирус не запускается, сколько бы я не тыкал мышкой. Хорошо, решил поискать в интернете, что это за проблема, жму на иконку хрома, а там все то же самое, но, попрошу заметить: работает проводник! 
      От имени администратора запустить тоже ничего нельзя, кнопки просто нет. 
      Командную строку через Win+R запустить тоже не получается, выбивает ошибку: Интерфейс не поддерживается. 
      Видел примерно такую же проблему на этом форуме, но там как то получилось поставить ComboFix, у меня же он просто не запустился, как и все остальные программы. 
      Диспетчер задач, что угодно вообще не открываются.... 
      Не могли бы вы мне помочь? Буду очень благодарен за помощь! 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • От anspasper
      лог не могу применить в AVZ, пишет установите новую версию, где взять ее


×
×
  • Создать...