Перейти к содержанию

Не устанавливается KTS, не работает KVRT


Николай Чигр

Рекомендуемые сообщения

После заражения неизвестным вирусом, почистил Dr. Web,  хотел поставить KTS, скачал с офиц. сайта, но установщик не открывается. После двойного клика значок мышки менялся на загрузку на секунду, а затем ничего не происходило. Скачал KVRT, который запускается, но при нажатии на кнопку "Пуск" ничего не происходит.

Аналогичные темы прочитал. Но все зависит от логов. Поэтому создал новую тему. 

CollectionLog-2020.12.04-11.54.zip

Изменено пользователем Николай Чигр
вложил лог
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • introws
      От introws
      Продолжение темы из раздела "Помощь в удалении вирусов": 
       
       
      Здравствуйте.
      Столкнулся с проблемой установки KIS: открываю установщик KIS/вылетает секундное пустое окошечко и исчезает.
      Решил запустить KVRT, но и с ним похожая история, он запускается, есть окошечко, но при нажатии на "Начать проверку" либо просто вылетает, либо начинает проверку и вызывает BSOD. 
       
      P.S. сейчас появились проблемы почти со всеми программами и с ОС в целом.
      Например, программы могут критовать, завершаться с ошибкой, перезагружаться, выбрасывать иногда синий экран
      Особенно плохо работают ЛЮБЫЕ браузеры: chrome, opera, edge
      Страницы критуют, перезагружаются, закрываются, иногда критует или перезагружается браузер целиком
      Даже это сообщение удалось написать со второго раза, т.к. страница просто кританула.
      Чаще всего ошибки происходят с потоковой передачей данных: видео, музыка, и т.п.
      Вылетает даже поиск в "Пуск" windows, например, если начать набирать текст поиска. Пробовал проверять ОЗУ ПК, оставляя по 1 планке, но это не дало результата
       
      Страницы критуют с такой ошибкой:


    • introws
      От introws
      Здравствуйте.
      Столкнулся с проблемой установки KIS: открываю установщик KIS/вылетает секундное пустое окошечко и исчезает.
      Решил запустить KVRT, но и с ним похожая история, он запускается, есть окошечко, но при нажатии на "Начать проверку" либо просто вылетает, либо начинает проверку и вызывает BSOD. 
    • Nikita.pomogite
      От Nikita.pomogite
      Включил компьютер, решил заняться своими делами и параллельно запустить kvrt, чтобы он делал свое дело. Как только подтвердил все соглашения, началась не ожидаемая проверка системы, а вылезло окно( не особо помню что было написано, но что то толи про драйвера, или про другое) и были варианты перезагрузить или продолжить работу, я решил нажать перезагрузить. После перезагрузки компьютер загружается с фразой «некорректно запущен компьютер», пытался запустить в безопасном режиме, запуск с проверкой, ничего не помогает, что делать
    • DimOriN
      От DimOriN
      Добрый день.
       
      Хочу понять - как угомонить антивирус удалять/лечить угрозы по типу hack-tool?
      По классификации антивируса, я подозреваю, что это "вредоносные утилиты", однако реагирование на них включено без права выбора пользователя.
       

       
      Есть ли способ заставить антивирус не реагировать на такой класс угроз?
    • Friend
      От Friend
      Его, к сожалению, наверно забанят, так как в том разделе все очень жестко.
      Да, это так, но как видно малвара сильнее антивирусных продуктов, что приходится почти всегда использовать сторонние утилиты, так как KVRT все-таки не может до конца все поправить и подобных обращений в разделе очень много. В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.
×
×
  • Создать...