Перейти к содержанию
Правила раздела

Не могу установить KIS и другие сканеры не работают

Flexix

От Flexix
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {523F36BE-A973-48E9-B637-3DC58F274238} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe
Task: {ABB2B789-DD49-40C6-ABCA-04DFAE2AF89F} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\KCN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2019-05-27] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
FF Extension: (Поиск Mail.Ru) - C:\Users\KCN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2019-05-27] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
CHR HomePage: Default -> inline.go.mail.ru
C:\Users\KCN\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\KCN\AppData\Local\Google\Chrome\User Data\Default\Extensions\iepoegkaoeljnbhagabakjodgpfniimo
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKU\S-1-5-21-1674923084-936941833-298272368-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
CHR HKLM-x32\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
S2 SpyHunter 4 Service; D:\Новая папка\SpyHunter\SH4Service.exe [685752 2018-03-30] (Enigma Software Group USA, LLC -> Enigma Software Group USA, LLC.)
S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2017-08-12] (Enigma Software Group USA, LLC -> )
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2020-11-25 20:07 - 2020-10-18 13:42 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-02-01 00:08 - 2020-02-01 00:08 - 000230080 _____ (AVAST Software) C:\ProgramData\Avast.exe
2020-02-07 19:35 - 2020-02-07 19:35 - 000282898 _____ () C:\Users\KCN\AppData\Roaming\8lt_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
2019-08-12 23:09 - 2019-08-12 23:09 - 000224318 _____ () C:\Users\KCN\AppData\Roaming\pg2_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
2019-10-06 23:13 - 2019-10-06 23:13 - 000224312 _____ () C:\Users\KCN\AppData\Roaming\wdl_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
Toolbar: HKU\S-1-5-21-1674923084-936941833-298272368-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
FirewallRules: [{2D914255-060A-4D4D-A647-EFFC4DF7CAB5}] => (Allow) LPort=8090
FirewallRules: [{269D33FA-22AB-4F6D-A495-BEA6E4821694}] => (Allow) LPort=20443
FirewallRules: [{EC1CD2CE-9365-4145-8691-32E0F743773F}] => (Allow) LPort=33333
FirewallRules: [{F53C494C-B6CA-4CF4-BA62-94E19521453C}] => (Allow) LPort=6881
FirewallRules: [{940FA25C-E717-4993-BEA6-02C7652E89F5}] => (Allow) LPort=27022
FirewallRules: [{9DEA1FEC-C2EA-42BA-9D85-6CB707860CED}] => (Allow) LPort=7853
FirewallRules: [{75DD3DFA-27AA-4D02-8633-575B7BD2AF66}] => (Allow) LPort=7852
FirewallRules: [{6C979E9F-0666-4971-AC05-400D569B1555}] => (Allow) LPort=7850
FirewallRules: [{1454AAE6-F09F-4713-8801-E275566313DA}] => (Allow) LPort=3478
FirewallRules: [{14903757-E4B4-4685-B0D9-20DF20D0695B}] => (Allow) LPort=20010
FirewallRules: [{B0A7DDB2-D573-4428-B727-4D98AA6C5A85}] => (Allow) LPort=443
FirewallRules: [{368D6C1E-EDF4-4AF5-A580-185494E076A7}] => (Allow) LPort=80
FirewallRules: [{2D601F01-F680-477E-9D37-112285AA0B5C}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => No File
FirewallRules: [{69CAA6BF-AC1A-48F8-A717-2551525B4913}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => No File
FirewallRules: [{A21757BE-FA22-4597-A594-BDA97D077C17}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷档潲敭牤癩牥攮數 => No File
FirewallRules: [{3135C383-582C-4163-B857-6877B4D48227}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => No File
FirewallRules: [{5F623FC4-0917-4A02-8670-A7183246AEC4}] => (Allow) LPort=161
FirewallRules: [{4E7C3A0D-F197-4454-BA7B-9AFB6EF84A18}] => (Allow) LPort=427
FirewallRules: [{A1CBABC8-ACDF-4FEF-B3DD-6F40FAEFE078}] => (Allow) LPort=9100
FirewallRules: [{B93CF58E-780A-45DA-89DC-FB723B376B49}] => (Allow) LPort=26789
FirewallRules: [{4FABF3E4-17F5-46C9-A9C1-2304041C90E9}] => (Block) LPort=445
FirewallRules: [{851E8140-F60D-4F7C-A7BD-D299B4794A2F}] => (Block) LPort=445
FirewallRules: [{FB4949BD-FBCD-4117-8643-591844591F66}] => (Block) LPort=139
FirewallRules: [{456335C9-2D6E-48B7-A199-3303AA009B44}] => (Block) LPort=139
FirewallRules: [{48872090-29D2-4833-80AF-B9FA6E8D055A}] => (Allow) LPort=3389
FirewallRules: [{B02F7838-73BC-4170-AE66-E21DD015A0CC}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Видны следы антивируса Zemana. Очистите - Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, в перечне её нет. Установите заново, затем удалите через Панель управления - Удаление программ.

В целом, проблема решена?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.20.169.0823.0006 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Менеджер браузеров Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • monwron
      [РЕШЕНО] Не могу установить никакой антивирус
      От monwron
      В процессе установки антивируса просит перезагрузить пк, перезагружаю, продолжаю установку антивируса и далее его нет НИГДЕ в системе. Ремоут тулом пк проверял, чето там нашел и удалил, но проблему не решило
      Помогите пожалуйста!
       
      CollectionLog-2024.11.15-02.50.zip
      FRST.txt Addition.txt
    • Malus_Vir
      Не могу удалить NET:MALWARE.URL
      От Malus_Vir
      Здравствуйте
      Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.
       
       
       
      Логи прикрепил:
       
      CollectionLog-2025.01.09-01.55.zip
    • ska79
      какой линукс установить на слабое железо?
      От ska79
      Какой линукс установить на слабое устаревшее железо 2006 года выпуска? 
    • Fitulka
      API для "Безопасный QR-сканер" в Kaspersky Free
      От Fitulka
      Уважаемые сотрудники и руководители компании. Работаю материально-ответственным лицом в муниципальной организации, за небольшие деньги, но и спрос такой же. На балансе 560 единиц малоценки. Кто знает тот понимает, кто не знает это столы, стулья и даже куркуляторы дедушки Брежнева. На каждом инвентарный номер. Написанный разными людьми, в разное время, в разном состоянии, разными и даже перманентными маркерами.
      Соответственно инвентаризация проходит по старинке. Один крикнул, второй не услышал, третий забыл и так кругами к светлому будущему. Дня 3-4. 
      Супруга из Казахстана, ее подружка когда услышала что инвентаризация по "совдеповски", удивилась. А что в России не используются QR??? В Казахстане уже везде, по опыту Китая как я понял. 
      Нашел сайт вроде российский. Сделал на 25 штук(один кабинет) кодов. Распечатал на липкой бумаге. Наклеил. Проверил "безопасным сканером" работает без сбоев. Поинтересовался в типографии неубиваемая липкая маркировка 5000р за все. Это предприятие потянет без проблем. Кабинет к слову прошли без проблем и не возвращались к нему за 5 минут я засекал.
      Дело за безопасным сканером который сможет передавать данные на мой сервер PostgreSQL. 
      1. Вопрос- Возможно ли получить API Безопасного сканера?
      2. Вопрос -планирует ли компания развивать "Безопасный QR-сканер" в отдельную программу "Инвентарка" для работы при проведении инвентаризации.  Требуется всего то общи список материалов и оборудования и сканирование QR кодов с удалением или отметками в программе. Ну и конечно же раз уж есть сканер, где "Безопасный генератор QR кодов"?
       
       
       
        
       
    • kiruxashafr
      не работает служба обновления
      От kiruxashafr
      CollectionLog-2024.12.30-20.03.zip
      винда 10 установлена не так давно около недели назад на нее поставит кмс и пакет офисов и программы по мелочи без левых сайтов. Беспокоит ситауция с центров обновлений, прогнал через др веб результат прикладываю
×
×
  • Создать...