Flexix 0 Опубликовано 14 декабря, 2020 Share Опубликовано 14 декабря, 2020 Перестал запускаться KIS, удалил а новый не ставится, также не запускаются антивирусные сканеры. CollectionLog-2020.12.14-19.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 декабря, 2020 Share Опубликовано 14 декабря, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. Цитата Ссылка на сообщение Поделиться на другие сайты
Flexix 0 Опубликовано 14 декабря, 2020 Автор Share Опубликовано 14 декабря, 2020 Имя карантина 2020.12.14_quarantine_d7ed3be5b6f9baca87a7c5d57eff6232.zip CollectionLog-2020.12.14-21.45.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 декабря, 2020 Share Опубликовано 14 декабря, 2020 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Flexix 0 Опубликовано 14 декабря, 2020 Автор Share Опубликовано 14 декабря, 2020 FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2020 Share Опубликовано 15 декабря, 2020 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Task: {523F36BE-A973-48E9-B637-3DC58F274238} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe Task: {ABB2B789-DD49-40C6-ABCA-04DFAE2AF89F} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe FF Extension: (Домашняя страница Mail.Ru) - C:\Users\KCN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2019-05-27] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json] FF Extension: (Поиск Mail.Ru) - C:\Users\KCN\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2019-05-27] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json] CHR HomePage: Default -> inline.go.mail.ru C:\Users\KCN\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf C:\Users\KCN\AppData\Local\Google\Chrome\User Data\Default\Extensions\iepoegkaoeljnbhagabakjodgpfniimo CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] CHR HKU\S-1-5-21-1674923084-936941833-298272368-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno] CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb] CHR HKLM-x32\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] S2 SpyHunter 4 Service; D:\Новая папка\SpyHunter\SH4Service.exe [685752 2018-03-30] (Enigma Software Group USA, LLC -> Enigma Software Group USA, LLC.) S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2017-08-12] (Enigma Software Group USA, LLC -> ) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] 2020-11-25 20:07 - 2020-10-18 13:42 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-02-01 00:08 - 2020-02-01 00:08 - 000230080 _____ (AVAST Software) C:\ProgramData\Avast.exe 2020-02-07 19:35 - 2020-02-07 19:35 - 000282898 _____ () C:\Users\KCN\AppData\Roaming\8lt_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt 2019-08-12 23:09 - 2019-08-12 23:09 - 000224318 _____ () C:\Users\KCN\AppData\Roaming\pg2_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt 2019-10-06 23:13 - 2019-10-06 23:13 - 000224312 _____ () C:\Users\KCN\AppData\Roaming\wdl_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt Toolbar: HKU\S-1-5-21-1674923084-936941833-298272368-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - No File FirewallRules: [{2D914255-060A-4D4D-A647-EFFC4DF7CAB5}] => (Allow) LPort=8090 FirewallRules: [{269D33FA-22AB-4F6D-A495-BEA6E4821694}] => (Allow) LPort=20443 FirewallRules: [{EC1CD2CE-9365-4145-8691-32E0F743773F}] => (Allow) LPort=33333 FirewallRules: [{F53C494C-B6CA-4CF4-BA62-94E19521453C}] => (Allow) LPort=6881 FirewallRules: [{940FA25C-E717-4993-BEA6-02C7652E89F5}] => (Allow) LPort=27022 FirewallRules: [{9DEA1FEC-C2EA-42BA-9D85-6CB707860CED}] => (Allow) LPort=7853 FirewallRules: [{75DD3DFA-27AA-4D02-8633-575B7BD2AF66}] => (Allow) LPort=7852 FirewallRules: [{6C979E9F-0666-4971-AC05-400D569B1555}] => (Allow) LPort=7850 FirewallRules: [{1454AAE6-F09F-4713-8801-E275566313DA}] => (Allow) LPort=3478 FirewallRules: [{14903757-E4B4-4685-B0D9-20DF20D0695B}] => (Allow) LPort=20010 FirewallRules: [{B0A7DDB2-D573-4428-B727-4D98AA6C5A85}] => (Allow) LPort=443 FirewallRules: [{368D6C1E-EDF4-4AF5-A580-185494E076A7}] => (Allow) LPort=80 FirewallRules: [{2D601F01-F680-477E-9D37-112285AA0B5C}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => No File FirewallRules: [{69CAA6BF-AC1A-48F8-A717-2551525B4913}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷桃潲敭䅜灰楬慣楴湯䍜牨浯硥e => No File FirewallRules: [{A21757BE-FA22-4597-A594-BDA97D077C17}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷档潲敭牤癩牥攮數 => No File FirewallRules: [{3135C383-582C-4163-B857-6877B4D48227}] => (Allow) 㩃啜敳獲䭜乃䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => No File FirewallRules: [{5F623FC4-0917-4A02-8670-A7183246AEC4}] => (Allow) LPort=161 FirewallRules: [{4E7C3A0D-F197-4454-BA7B-9AFB6EF84A18}] => (Allow) LPort=427 FirewallRules: [{A1CBABC8-ACDF-4FEF-B3DD-6F40FAEFE078}] => (Allow) LPort=9100 FirewallRules: [{B93CF58E-780A-45DA-89DC-FB723B376B49}] => (Allow) LPort=26789 FirewallRules: [{4FABF3E4-17F5-46C9-A9C1-2304041C90E9}] => (Block) LPort=445 FirewallRules: [{851E8140-F60D-4F7C-A7BD-D299B4794A2F}] => (Block) LPort=445 FirewallRules: [{FB4949BD-FBCD-4117-8643-591844591F66}] => (Block) LPort=139 FirewallRules: [{456335C9-2D6E-48B7-A199-3303AA009B44}] => (Block) LPort=139 FirewallRules: [{48872090-29D2-4833-80AF-B9FA6E8D055A}] => (Allow) LPort=3389 FirewallRules: [{B02F7838-73BC-4170-AE66-E21DD015A0CC}] => (Allow) LPort=3389 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Видны следы антивируса Zemana. Очистите - Чистка системы после некорректного удаления антивируса. Цитата Ссылка на сообщение Поделиться на другие сайты
Flexix 0 Опубликовано 15 декабря, 2020 Автор Share Опубликовано 15 декабря, 2020 Fixlog.txt Zemana в теме чистка системы после некорректного.... не нашел, как очистить. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2020 Share Опубликовано 15 декабря, 2020 Да, в перечне её нет. Установите заново, затем удалите через Панель управления - Удаление программ. В целом, проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Flexix 0 Опубликовано 15 декабря, 2020 Автор Share Опубликовано 15 декабря, 2020 Проблема решена, большое человеческое спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2020 Share Опубликовано 15 декабря, 2020 В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Flexix 0 Опубликовано 15 декабря, 2020 Автор Share Опубликовано 15 декабря, 2020 SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 15 декабря, 2020 Share Опубликовано 15 декабря, 2020 ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft OneDrive v.20.169.0823.0006 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Менеджер браузеров Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.