[РЕШЕНО] Не запускается проверка KVRT + не запускается установщик KTS

[blackrif 0]

Здравствуйте,

столкнулся с проблемой или проблемами выраженной в следующих симптомах:

• заметно удлинившееся время запуска Windows
• при простое начинал нагружаться процессор и ОЗУ (следил через оверлей от видеодрайвера)
• при открытии диспетчера задач - как будто бы нагрузки прекращались
• диспетчер задач периодически сам закрывался
• при попытке открыть некоторые интернет страницы, например, этого форума, страница браузера показывала ошибки ERR_CONNECTION_REFUSED или INET_E_RESOURCE_NOT_FOUND, при этом страница открывалась с мобильного телефона
• при попытке установить антивирусное ПО установщик просто не запускался (например, Kaspersky Virus Removal Tool , Total Security, AVZ, FRST64 )

 

После примитивных попыток лечения (удаление сомнительных служб, процессов, файлов, чистки автозагрузки, удалении ПО о котором ничего не знаю), а также ПО adwcleaner_8.0.8 - удалось добиться небольшого прогресса и восстановить работу браузера.

После чего я сделал полную проверку и удаление и лечение того, что не удалялось, через Kaspersky Reckue Disk 18 - это помогло также добиться небольшого прогресса (были разные майнеры + трояны), - какие-то антивирусные программы стали запускаться, а какие-то теперь не закрываются сразу после открытия.

 

Однако после всего этого, изначальная проблема так и не решилась, у меня по прежнему не получается сделать две вещи:

1. запустить проверку через KVRT , - нажимаю на кнопку "начать проверку" нажатие происходит, но на этом все.
2. установить Kaspersky Total Security, для проверки и постоянной защиты

 

Надеюсь на вашу помощь, заранее спасибо.

 

п.с субъективно, но по ощущениям нагрузка озу+цп продолжается, но уже не так сильно/быстро/заметно как раньше

CollectionLog-2020.12.12-20.22.zip

[thyrex 1 211]

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[blackrif 0]

Сообщение после загрузки:

Файл сохранён как	201212_235249_quarantine_5fd557d1da2c0.zip
Размер файла	7244543
MD5	057e11df193b9420c1d7e94e69ace579

 

Удалось запустить проверку через KVRT после этих действий! Угроз не обнаружено :)

Также удалось запустить установку KTS.

Спасибо!

 

CollectionLog-2020.12.13-03.16.zip

Изменено 13 декабря, 2020 пользователем blackrif

[thyrex 1 211]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[blackrif 0]

Доброе утро, лог в атаче

FRST64_log.zip

[thyrex 1 211]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {d6d74888-26be-11eb-a6c4-94de806eefa5} - "E:\Autoplay.exe" -auto
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {fd357a5b-39b3-11eb-a6d9-94de806eefa5} - "D:\HiSuiteDownLoader.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {1F1F8503-4FF9-4FE4-8E08-333D45147589} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
Task: {7D1C6406-6F0C-487C-9419-5D602D1191D3} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {AE10809D-971B-436A-9609-7CE9361AB3B6} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\ProgramData\ntuser.pol
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign837a463f744f456e
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign557537a057b92061
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna331a4c17b35dd24
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3f5579f3bb12b5c5
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigndbe05c84f07d37eb
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignb748547e07713aa0
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignefaf9d42ff5bbe54
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign53404f94c2910047
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc766fada8b4dacb1
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign8aef00d907e0220f
HKLM\...\StartupApproved\Run: => "Realtek HD Audio"
HKLM\...\StartupApproved\Run32: => "Realtek HD Audio"
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[blackrif 0]

Готово

Fixlog.txt

[thyrex 1 211]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[blackrif 0]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 13.12.2020 10:57:16
Path starting: C:\Users\user\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: user
VersionXML: 8.39is-12.12.2020
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 03.11.2020 17:23:18
Статус лицензии: Windows(R), Core edition Срок истечения многопользовательской активации: 49424 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: ФС: [NTFS] Емкость: [595.5 Гб] Занято: [195 Гб] Свободно: [400.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Total Security (отключен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Steam v.2.10.91.91
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-bit) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Discord v.0.0.309
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.1.15.500
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11
K-Lite Codec Pack 15.9.0 Full v.15.9.0
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 83.0 (x64 ru) v.83.0
Google Chrome v.87.0.4280.88
Microsoft Edge v.87.0.664.60 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.1 (AVP21.1) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avp.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avpui.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksde.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksdeui.exe v.21.1.15.500
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

Готово

[thyrex 1 211]

Обновите указанные программы, и на этом закончим.

[blackrif 0]

Огромное спасибо за помощь!

[thyrex 1 211]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".