Перейти к содержанию

[РЕШЕНО] Не запускается проверка KVRT + не запускается установщик KTS


Рекомендуемые сообщения

Здравствуйте,

столкнулся с проблемой или проблемами выраженной в следующих симптомах:

  • заметно удлинившееся время запуска Windows
  • при простое начинал нагружаться процессор и ОЗУ (следил через оверлей от видеодрайвера)
  • при открытии диспетчера задач - как будто бы нагрузки прекращались
  • диспетчер задач периодически сам закрывался
  • при попытке открыть некоторые интернет страницы, например, этого форума, страница браузера показывала ошибки ERR_CONNECTION_REFUSED или INET_E_RESOURCE_NOT_FOUND, при этом страница открывалась с мобильного телефона
  • при попытке установить антивирусное ПО установщик просто не запускался (например, Kaspersky Virus Removal Tool , Total Security, AVZ, FRST64 )

 

После примитивных попыток лечения (удаление сомнительных служб, процессов, файлов, чистки автозагрузки, удалении ПО о котором ничего не знаю), а также ПО adwcleaner_8.0.8 - удалось добиться небольшого прогресса и восстановить работу браузера.

После чего я сделал полную проверку и удаление и лечение того, что не удалялось, через Kaspersky Reckue Disk 18 - это помогло также добиться небольшого прогресса (были разные майнеры + трояны), - какие-то антивирусные программы стали запускаться, а какие-то теперь не закрываются сразу после открытия.

 

Однако после всего этого, изначальная проблема так и не решилась, у меня по прежнему не получается сделать две вещи:

  1. запустить проверку через KVRT , - нажимаю на кнопку "начать проверку" нажатие происходит, но на этом все.
  2. установить Kaspersky Total Security, для проверки и постоянной защиты

 

Надеюсь на вашу помощь, заранее спасибо.

 

п.с субъективно, но по ощущениям нагрузка озу+цп продолжается, но уже не так сильно/быстро/заметно как раньше

CollectionLog-2020.12.12-20.22.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Сообщение после загрузки:

Файл сохранён как

201212_235249_quarantine_5fd557d1da2c0.zip

Размер файла

7244543

MD5

057e11df193b9420c1d7e94e69ace579

 

Удалось запустить проверку через KVRT после этих действий! Угроз не обнаружено :)

Также удалось запустить установку KTS.

Спасибо!

 

CollectionLog-2020.12.13-03.16.zip

Изменено пользователем blackrif
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {d6d74888-26be-11eb-a6c4-94de806eefa5} - "E:\Autoplay.exe" -auto
HKU\S-1-5-21-1211758847-711090589-2603188910-1000\...\MountPoints2: {fd357a5b-39b3-11eb-a6d9-94de806eefa5} - "D:\HiSuiteDownLoader.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {1F1F8503-4FF9-4FE4-8E08-333D45147589} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
Task: {7D1C6406-6F0C-487C-9419-5D602D1191D3} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {AE10809D-971B-436A-9609-7CE9361AB3B6} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2020-12-12 00:04 - 2020-12-12 00:24 - 000000258 __RSH C:\ProgramData\ntuser.pol
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign837a463f744f456e
2020-12-11 03:41 - 2020-12-11 03:41 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign557537a057b92061
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna331a4c17b35dd24
2020-12-11 03:17 - 2020-12-11 03:17 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3f5579f3bb12b5c5
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsigndbe05c84f07d37eb
2020-12-11 02:22 - 2020-12-11 02:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignb748547e07713aa0
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignefaf9d42ff5bbe54
2020-12-10 23:22 - 2020-12-10 23:22 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign53404f94c2910047
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc766fada8b4dacb1
2020-12-10 23:09 - 2020-12-10 23:09 - 000000000 ____D C:\Users\user\AppData\Local\Tempzxpsign8aef00d907e0220f
HKLM\...\StartupApproved\Run: => "Realtek HD Audio"
HKLM\...\StartupApproved\Run32: => "Realtek HD Audio"
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 13.12.2020 10:57:16
Path starting: C:\Users\user\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: user
VersionXML: 8.39is-12.12.2020
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 03.11.2020 17:23:18
Статус лицензии: Windows(R), Core edition Срок истечения многопользовательской активации: 49424 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [595.5 Гб] Занято: [195 Гб] Свободно: [400.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Total Security (отключен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Steam v.2.10.91.91
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-bit) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Discord v.0.0.309
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.1.15.500
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11
K-Lite Codec Pack 15.9.0 Full v.15.9.0
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 83.0 (x64 ru) v.83.0
Google Chrome v.87.0.4280.88
Microsoft Edge v.87.0.664.60 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.1 (AVP21.1) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avp.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.1\avpui.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksde.exe v.21.1.15.500
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.1\ksdeui.exe v.21.1.15.500
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

 

Готово

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Василий Крылов
      Обратил внимание, что KTS исчез из автозагрузки. Раньше был. Галочка в настройках - включать при включении компа - стоит. Как настроить автозагрузку KTS? Почему такое может произойти? Не паразит ли? проверка кучей антивирусов ничего не дала. 
    • От Василий Крылов
      В KTS в доп функциях есть пункт Очистка и удаление данных, где предлагается очистить базы Mount Point. Нужно ли это делать и если да, то зачем?
    • От nick16000
      Обнаружил майнеры. Выполнил полную проверку с помощью Removal Tool и удалил все угрозы, но Total Security не устанавливается, выдавая ошибку 1303. Пожалуйста, помогите. Лог-файл прилагаю.
      CollectionLog-2021.03.13-15.25.zip
    • От Erema42
      Добрый день, прошу помощи. Был установлен KIS, он перестал запускаться. Решил его переустановить. Новый установщик не запускается. С ПК не могу зайти на сайт касперского в раздел поддержки. Не могу зайти на сайты большинства антивирусов. Запустился только DR. WEB, им им удалось просканировать и убрать трояны, но по прежнему не могу установить KIS и KVRT не запускается. Помогите пожалуйста.
    • От Sirenfall
      Неделю назад была поймана пачка вирусов. Встроенный дефендер не справился, поэтому сразу были предприняты меры по очистке через cruel it (вирус предварительно заблокировал переход на большинство сайтов с антивирусами перенаправив их на localhost, но cruel перекинул с другого пк).
      После тщательной проверки была найдена пачка вирусов, среди них был rdp. После cruel, прогнал AVZ. После лечения большая часть симптомов ушла. В скрытых процессах не наблюдалось ничего. Но, подозрение на существование угрозы всё ещё сохранилось. Сейчас решил проверить ПК через  
      malwarebytes, но его установить не удалось (сперва ошибка "недопустимый путь" при указании папки c:\\program files, а при указании иной - после перезагрузки "Возникла ошибка").
      Далее решено было попробовать через KVRT. Запустить удалось, но не нажимается кнопка "начать проверку", анимация нажатия есть, но ничего не происходит.
      Также обратил внимание, что остались скрытые папки в program files (rdp, kaspersky lab, возможно и другие).
      Avast, ESET nod 32  - ничего не показали.
      Полагаю, что что-то до сих пор осталось на ПК. 
      Прощу помощи в устранении проблемы
       
      CollectionLog-2021.02.13-22.43.zip
×
×
  • Создать...