Перейти к содержанию

Не запускается установщик касперского, а также КVRT


Рекомендуемые сообщения

Здравствуйте! Сегодня скачал касперский и попытался его установить. Но при запуске .exe ничего не происходило. Открыл диспетчер задач, и многократно нажимал на установщик. Видел как процесс установщика появлялся в списке задач и сразу же пропадал. Очищал компьютер с помощью adwcleaner, он нашел 2 угрозы, и удалил их. После перезапуска, все равно, ничего не работало. Решившись искать в интернете, понял, что многие сайты с антивирусами попусту перестали работать. Пришлось через VPN. Скачать KVRT, но кнопка "Начать проверку" не функционирует. Скачал от Dr.Web утилиту она ничего не нашла. Смог как-то восстановить работу Windows Defender - после быстрой и полной проверки ничего не нашлось.
Очистил реестр и разный мусор, а также автозагрузку CCleaner'ом. Запускал программу RKill, которая выявила в файле host отключенные сайты. Очистил файл. Всё ещё отказывается запускаться .exe-шник
 

CollectionLog-2020.12.06-11.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь за поздний ответ

Файл сохранён как 201206_135849_quarantine_5fcce39916d1b.zip
Размер файла 9080982
MD5 3274c94f6ea12bcb1381d155ebb566a6

CollectionLog-2020.12.06-17.04.zip

 

Так, не знаю будет ли это кому-либо ещё решением. Но я вспомнил про проблему, которая у меня была ещё в далекие 2016-17 года с несовместимостью касперского с какими-то другими программами, которые у меня тогда были.
Вспомнил как устанавил касперский через командную строку командой:
ada.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pALLOWREBOOT=1 /SKIPPRODUCTCHECK=1 /s
ada.exe - установщик касперского (переименовал, думал вирус по имени блокирует)

Конкретно тогда была нужна вот это строка /SKIPPRODUCTCHECK=1
Сейчас выполнил эту команду и антивирус установился в тихом режиме и запустился. Ура, я счастлив!

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Lorsanov сказал:

Сейчас выполнил эту команду и антивирус установился в тихом режиме и запустился. Ура, я счастлив!

Установился только потому, что блокировка была снята выполненным скриптом.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Lorsanov сказал:

с помощью этих логов можно выяснить чем была установка заблокирована?

Атрибуты папок были изменены.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\ApprelronS\Quotelax.dll => No File
AppInit_DLLs-x32: C:\ProgramData\ApprelronS\Bluelab.dll => No File
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{4A0A1DE3-73FC-49B4-A85F-79673CBFB3E1}C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe] => (Allow) C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe => No File
FirewallRules: [UDP Query User{A677AFA7-E68E-4B00-9FD6-3D1E733795FC}C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe] => (Allow) C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe => No File
FirewallRules: [{DEDB60ED-4F1E-4E8F-972F-2FA49EB70C51}] => (Block) LPort=445
FirewallRules: [{1310A8DE-D74D-495C-AA30-5FE9967ADAAA}] => (Block) LPort=445
FirewallRules: [{7F38C5C6-85A2-4688-BB5D-92C6567EFBE5}] => (Block) LPort=139
FirewallRules: [{E9B6E802-0FB7-453C-9595-CA8D3E9A4870}] => (Block) LPort=139
HKU\S-1-5-21-1481146917-261548874-2437374646-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBAcdbTT-oGb_ZTroGhBApTf6CjEqA5Boi7ySmObCqrsT23NJJ96UGWGapKH7GdcscbhPLA1VUdu4aErwq6R8Vjny9yC2EnjU0Qq4ILdZmyxPamKgfuN4c3mQgYsgpI9WZqc5dIdJErYwuQqTO6pnNQ5EqrROYpDiEXyVi8AmzYrXuK6WaQ0pQH7pg,&q={searchTerms}
HKU\S-1-5-21-1481146917-261548874-2437374646-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBAcdbTT-oGb_ZTroGhBApTf6CjEqA5Boi7ySmObCqrsT23NJJ96UGWGapKH7GdcscbhPLA1VUdu4aErwq6R8Vjny9yC21VH7L_KxjJv2_iAFVWd_l_G6tpmVYBimVjPASMgwHOBd9ivNmeqWSm9Q_Tli9__85GMiiuO_m-UIl42hoOrERkT0dBDmI,
AlternateDataStreams: C:\WINDOWS\System32:tdsrset.gfc [5846]
AlternateDataStreams: C:\WINDOWS\System32:tdsrset_i.gfc [5846]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От alex142_23
      Сегодня хотел поставить KTS, скачал с офиц. сайта, но установочник не открывался. После двойного клика значок мышки менялся на загрузку на секунду, а затем ничего не происходило. Ни в процессах, ни в задачах установщика не было. Запуск от администратора также не принёс ничего.
      После этого по рекомендации представителя "Касперский" в вк я скачал KVRT, который запускался, но при нажатии на кнопку "Пуск" ничего не происходило.
      Залил KVRT на флэшку, загрузился с неё, чистка закончилась 2 удалёнными троянами. Что за трояны - не скринил.
       
      После этого загрузился со своей винды и снова попытался установить KTS. Проблема с его установкой, а точнее с её отсутствием, сохранилась.
       
      Итого: KTS не устанавливается, даже не открывается. KVRP запускается только с флэшки через биос, просто через винду открывается, но не сканирует. GetSystemInfo также не работает, более двух часов сбор данных стоял на одном месте и не потреблял ресурсов.
       
      Помогите, пожалуйста, разобраться и решить проблему. Спасибо! 
       временно выгрузите антивирус, файерволл и прочее защитное ПО.
      ВыполниЛ скрипт в AVZ (Файл - Выполнить скрипт):
      begin  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);  ClearQuarantineEx(true);  QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');  QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');  DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');  DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');  DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '32');  DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '32');  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean;  ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузился. 
       
      Файл quarantine.zip из папки AVZ отправил по адресу newvirus@kaspersky.com
      ответ не получил.
    • От Elly
      Друзья!
       
      Пришла пора провести первую викторину 2021 года, которая посвящается десяти продуктам "Лаборатории Касперского".
      Формат этой викторины предельно простой. Вам будет задано 10 вопросов по 10 продуктам* (актуальных версий, доступных для установки и загрузки в данное время), то есть каждому из вопросов соответствует только одно из защитных решений. Ответы на вопросы вы можете найти в сети Интернет, либо при непосредственной установке и использовании продуктов.
       
      НАГРАЖДЕНИЕ
      Без ошибок - 800 баллов
      1 ошибка - 600 баллов
      2 ошибки - 400 баллов

      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 21:00 7 февраля 2021 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины**.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. 
       
      Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов. Викторина является собственностью фан-клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации фан-клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      -----
      *вопросы касаются сборок продуктов для Российского сегмента.
      **для оформления заказа и отправки в ваш адрес посылки, необходимо сделать заказ на 2000 баллов. Подробнее здесь.
    • От Pru
      Здравствуйте. Словили вирус шифровальщик. Помогите.
      FRST.txt Addition.txt
    • От Иван71
      Здравствуйте. Не могу установить KIS, оишбка при установке. Проблема следующая. Заметил что компьютер начал сильно "грузится" даже в режиме простоя. Обратил внимание что что то грузит его на 100% при том что я ничего не делаю вообще. При открытии диспетчера задач процесс тут же "прячется" и нагрузка падает на комп. В файле hosts было это содержимое: 
       
      кое как вроде удалось все очистить, но проблему это решило не до конца. KVRT не ставится, "Ошибка загрузки драйвера" ; "Ошибка загрузки драйвера расширенного мониторинга"
      CollectionLog-2021.01.21-12.26.zip
×
×
  • Создать...