Перейти к содержанию

Не запускается установщик касперского, а также КVRT


Рекомендуемые сообщения

Здравствуйте! Сегодня скачал касперский и попытался его установить. Но при запуске .exe ничего не происходило. Открыл диспетчер задач, и многократно нажимал на установщик. Видел как процесс установщика появлялся в списке задач и сразу же пропадал. Очищал компьютер с помощью adwcleaner, он нашел 2 угрозы, и удалил их. После перезапуска, все равно, ничего не работало. Решившись искать в интернете, понял, что многие сайты с антивирусами попусту перестали работать. Пришлось через VPN. Скачать KVRT, но кнопка "Начать проверку" не функционирует. Скачал от Dr.Web утилиту она ничего не нашла. Смог как-то восстановить работу Windows Defender - после быстрой и полной проверки ничего не нашлось.
Очистил реестр и разный мусор, а также автозагрузку CCleaner'ом. Запускал программу RKill, которая выявила в файле host отключенные сайты. Очистил файл. Всё ещё отказывается запускаться .exe-шник
 

CollectionLog-2020.12.06-11.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь за поздний ответ

Файл сохранён как 201206_135849_quarantine_5fcce39916d1b.zip
Размер файла 9080982
MD5 3274c94f6ea12bcb1381d155ebb566a6

CollectionLog-2020.12.06-17.04.zip

 

Так, не знаю будет ли это кому-либо ещё решением. Но я вспомнил про проблему, которая у меня была ещё в далекие 2016-17 года с несовместимостью касперского с какими-то другими программами, которые у меня тогда были.
Вспомнил как устанавил касперский через командную строку командой:
ada.exe /pEULA=1 /pPRIVACYPOLICY=1 /pKSN=1 /pALLOWREBOOT=1 /SKIPPRODUCTCHECK=1 /s
ada.exe - установщик касперского (переименовал, думал вирус по имени блокирует)

Конкретно тогда была нужна вот это строка /SKIPPRODUCTCHECK=1
Сейчас выполнил эту команду и антивирус установился в тихом режиме и запустился. Ура, я счастлив!

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Lorsanov сказал:

Сейчас выполнил эту команду и антивирус установился в тихом режиме и запустился. Ура, я счастлив!

Установился только потому, что блокировка была снята выполненным скриптом.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Lorsanov сказал:

с помощью этих логов можно выяснить чем была установка заблокирована?

Атрибуты папок были изменены.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\ApprelronS\Quotelax.dll => No File
AppInit_DLLs-x32: C:\ProgramData\ApprelronS\Bluelab.dll => No File
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{4A0A1DE3-73FC-49B4-A85F-79673CBFB3E1}C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe] => (Allow) C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe => No File
FirewallRules: [UDP Query User{A677AFA7-E68E-4B00-9FD6-3D1E733795FC}C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe] => (Allow) C:\users\user\desktop\redagerp\usbwebserver\mysql\bin\mysqld_usbwv8.exe => No File
FirewallRules: [{DEDB60ED-4F1E-4E8F-972F-2FA49EB70C51}] => (Block) LPort=445
FirewallRules: [{1310A8DE-D74D-495C-AA30-5FE9967ADAAA}] => (Block) LPort=445
FirewallRules: [{7F38C5C6-85A2-4688-BB5D-92C6567EFBE5}] => (Block) LPort=139
FirewallRules: [{E9B6E802-0FB7-453C-9595-CA8D3E9A4870}] => (Block) LPort=139
HKU\S-1-5-21-1481146917-261548874-2437374646-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBAcdbTT-oGb_ZTroGhBApTf6CjEqA5Boi7ySmObCqrsT23NJJ96UGWGapKH7GdcscbhPLA1VUdu4aErwq6R8Vjny9yC2EnjU0Qq4ILdZmyxPamKgfuN4c3mQgYsgpI9WZqc5dIdJErYwuQqTO6pnNQ5EqrROYpDiEXyVi8AmzYrXuK6WaQ0pQH7pg,&q={searchTerms}
HKU\S-1-5-21-1481146917-261548874-2437374646-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBAcdbTT-oGb_ZTroGhBApTf6CjEqA5Boi7ySmObCqrsT23NJJ96UGWGapKH7GdcscbhPLA1VUdu4aErwq6R8Vjny9yC21VH7L_KxjJv2_iAFVWd_l_G6tpmVYBimVjPASMgwHOBd9ivNmeqWSm9Q_Tli9__85GMiiuO_m-UIl42hoOrERkT0dBDmI,
AlternateDataStreams: C:\WINDOWS\System32:tdsrset.gfc [5846]
AlternateDataStreams: C:\WINDOWS\System32:tdsrset_i.gfc [5846]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • От Bukaz
      Добрый день. Ноутбук в один момент начал сильно греться и торомозить. Скачал KVRT нашел десяток вирусов, удалил. Лог во вложении
      CollectionLog-2021.05.10-22.13.zip
    • От Ganjabatr1x
      Всем привет. Уже не раз появляется эта зараза......помогите пожалуйста полностью избавиться. Отчет тут https://cloud.mail.ru/public/9ATz/rPQqfwYC4 

    • От Janei
      Здраствуйте. Недавно осознал, что на компьютере установлен майнер. 
      Пытался создать тему по правилам... Но проблема в том, что майнер не дает запустить два антивируса из предложенных. Они сразу закрываются. А также препятствует обновлению базы в AVZ. (для того чтобы собрать логи). Автологгер не получается использовать. Спешу заметить, что вирус закрывает AVZ сам после запуска программы. Собственно, почему понял что майнер. В моменте сёрфинга интернета картинка просто намертво замирает, очень сильно всё лагает до момента пока не открыть диспетчер задач. Картину которую вижу в стандартном диспетчере - загрузка ЦП 99% и через секунду 3%. Отсюда сделал некоторые выводы. Скачал два кастомных ДЗ. Process hacker 2 ( который майнер также распознал и успешно закрывался сам после открытия данного ДЗ) и system explorer. Последний и дал мне понять, что мой железный конь хапнул вируса. в процессах висел файл Microsofthost.exe который грузил 90% процессора. Также вирус сам закрывал оригинальный ДЗ через минуту буквально. Данный вирус прописался в папку windowstask. был скрытым системным файлом.  Обнаружил такую вещь: при попытке сделать видимыми системные файлы. После нажатия кнопки "применить" системные файлы не становятся видимыми навсегда. Как только окошко закрывается, вирус заново ставит галочку "скрывать системные файлы". 
      После остановки процесса удалил из папки все файлы.  (майнер запускал два процесса. один не загружал систему вообще.) Момент истины - Перезагрузка компьютера - ДЗ - майнер снова работает.
      Теперь о проблемах: 
      Антивирусы закрываются через секунду.
      АВЗ закрывается через секунду.
      Майнер закрывается при открытии некоторых ДЗ. 
      После удаления и перезагрузки - майнер восстанавливается. 
      Связано или нет - данный сайт опера гх не может открыть. зашел сюда только под впн. 
      на картинке два процесса из папки майнера.

      Прошу помощи. Логгер запустить не получается. 




    • От FeofaN
      Здравствуйте! Установлен Kaspersky Endpoint Security 11.5.0.590 и Microsoft Office 2013. Компьютеры в домене. Проблема наблюдается на Windows 8.1\10. Не работает предварительный просмотр вложений в Outlook. Подскажите пожалуйста как это исправить? Спасибо заранее.

×
×
  • Создать...