Перейти к содержанию

[РЕШЕНО] Не запускается проверка KVRT + не запускается установщик KTS


Рекомендуемые сообщения

Здравствуйте,

столкнулся с проблемой или проблемами выраженной в следующих симптомах:

  • заметно удлинившееся время запуска Windows
  • при простое начинал нагружаться процессор и ОЗУ (следил через оверлей от видеодрайвера)
  • при открытии диспетчера задач - как будто бы нагрузки прекращались
  • диспетчер задач периодически сам закрывался
  • при попытке открыть некоторые интернет страницы, например, этого форума, страница браузера показывала ошибки ERR_CONNECTION_REFUSED или INET_E_RESOURCE_NOT_FOUND, при этом страница открывалась с мобильного телефона
  • при попытке установить антивирусное ПО установщик просто не запускался (например, Kaspersky Virus Removal Tool , Total Security, AVZ, FRST64 )

 

После примитивных попыток лечения (удаление сомнительных служб, процессов, файлов, чистки автозагрузки, удалении ПО о котором ничего не знаю), а также ПО adwcleaner_8.0.8 - удалось добиться небольшого прогресса и восстановить работу браузера.

После чего я сделал полную проверку и удаление и лечение того, что не удалялось, через Kaspersky Reckue Disk 18 - это помогло также добиться небольшого прогресса (были разные майнеры + трояны), - какие-то антивирусные программы стали запускаться, а какие-то теперь не закрываются сразу после открытия.

 

Однако после всего этого, изначальная проблема так и не решилась, у меня по прежнему не получается сделать две вещи:

  1. запустить проверку через KVRT , - нажимаю на кнопку "начать проверку" нажатие происходит, но на этом все.
  2. установить Kaspersky Total Security, для проверки и постоянной защиты

 

Надеюсь на вашу помощь, заранее спасибо.

 

п.с субъективно, но по ощущениям нагрузка озу+цп продолжается, но уже не так сильно/быстро/заметно как раньше

CollectionLog-2020.12.12-20.22.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Сообщение после загрузки:

Файл сохранён как

201212_235249_quarantine_5fd557d1da2c0.zip

Размер файла

7244543

MD5

057e11df193b9420c1d7e94e69ace579

 

Удалось запустить проверку через KVRT после этих действий! Угроз не обнаружено :)

Также удалось запустить установку KTS.

Спасибо!

 

CollectionLog-2020.12.13-03.16.zip

Изменено пользователем blackrif
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {d6d74888-26be-11eb-a6c4-94de806eefa5} - "E:\Autoplay.exe" -auto
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {fd357a5b-39b3-11eb-a6d9-94de806eefa5} - "D:\HiSuiteDownLoader.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {1F1F8503-4FF9-4FE4-8E08-333D45147589} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
Task: {7D1C6406-6F0C-487C-9419-5D602D1191D3} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {AE10809D-971B-436A-9609-7CE9361AB3B6} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\ProgramData\ntuser.pol
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign837a463f744f456e
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign557537a057b92061
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna331a4c17b35dd24
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3f5579f3bb12b5c5
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigndbe05c84f07d37eb
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignb748547e07713aa0
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignefaf9d42ff5bbe54
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign53404f94c2910047
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc766fada8b4dacb1
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign8aef00d907e0220f
HKLM\...\StartupApproved\Run: => "Realtek HD Audio"
HKLM\...\StartupApproved\Run32: => "Realtek HD Audio"
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 13.12.2020 10:57:16
Path starting: C:\Users\user\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: user
VersionXML: 8.39is-12.12.2020
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 03.11.2020 17:23:18
Статус лицензии: Windows(R), Core edition Срок истечения многопользовательской активации: 49424 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [595.5 Гб] Занято: [195 Гб] Свободно: [400.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Total Security (отключен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Steam v.2.10.91.91
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-bit) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Discord v.0.0.309
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.1.15.500
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11
K-Lite Codec Pack 15.9.0 Full v.15.9.0
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 83.0 (x64 ru) v.83.0
Google Chrome v.87.0.4280.88
Microsoft Edge v.87.0.664.60 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.1 (AVP21.1) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avp.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avpui.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksde.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksdeui.exe v.21.1.15.500
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

Готово

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Heps
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам При нажатии на кнопку в "Начать сканирование" ничего не происходит
      CollectionLog-2021.01.25-14.46.zip
    • От deniska123
      KVRT не начинает проверку анимация нажатия есть но не чего не происходит что делать? помогите пожалуйста
    • От DMKLL
      Здравствуйте. Очень нужна помощь!
      Поймала какую-то страшную вирусяку - сначала браузеры перестали скачивать любого рода файлы, а после перестал работать и сканировать каспер (Kaspersky Free и Internet Security)
      Через профиль администратора KVRT устранил 9 проблем, всё работало прекрасно, но вернувшись в свой обычный профиль всё началось по новой. Установщик Kaspersky Free не запускается (никакого окошка не появляется), KVRT запускается, но после нажатия кнопки ничего не происходит
      Видела что у многих такая проблема, но мне не помогают их решения
      Вот записанные логи:CollectionLog-2021.01.19-01.38.zip
    • От DeminV
      Доброго времени суток, компьютер подвергся заражению вредоносным ПО. Устанавливать какие либо антивирусы компьютер отказывался, просто ничего не происходило при нажатии на установщик. Так же не открывалась часть сайтов с различными антивирусами.

      С флешки удалось запустить утилиту - Dr.Web CureIt! и при сканировании нашлось парочка вирусов (как я думал), но после процесса их удаления проблема с запуском продуктов Касперского не пропала, но доступ к сайтам с антивирусами появился.
       
      В итоге: установщик KTS просто не реагирует на нажатие, только на секунду показывается в диспетчере задач и пропадает. KVRT запускается, но далее не реагирует при нажатии копки "Начать".

      До всего вышеперечисленного стоял штатский защитник Windows.
       
      Читал форум, видел, что я далеко не единственный с подобной проблемой и понял что все это решается в большинстве случаев только индивидуально, в зависимости от логов.
      Помогите решить проблему🙏
      CollectionLog-2021.01.14-02.28.zip
    • От Mason19
      Всех с новым годом. До конца лицензии KIS осталось 45 дней, хочу попробовать KTS, можно ли перейти с действующей лицензией KIS на KTS?
×
×
  • Создать...