[РЕШЕНО] Не запускается установщик KAV

[KapToXuH]

Здравствуйте, начал замечать, что компьютер не уходит в спящий режим и при простое кулер начинает завывать как турбина самолета при уходе на второй круг. Начал изучать и понял, что поселилась малварь. Начинаю ставить Касперского, и после клика по файлу установки окно установщика будто закрывается. Пробую установить 360, то-же самое. Переименовываю файл Касперского - не запускается. Переименовал 360 - запустился, но встать не смог. Кое как, с третей попытки установил Аваст, но тот не смог произвести скан до конца и зависал. 

Создал загрузочную флешку Касперского, смог найти разную малварь но не могу удалить тк проблема с монтированием NTFS дисков, и получаю доступ только чтение. Разными трудами запускаю сканер от Др.Веб уже под Виндой и убиваю малварь.

Тем не менее установщик Касперского все еще терминируется при запуске - значит что-то еще живо.

Хочу поставить Касперского.

P.S. При всех процедурах поиска малвари Win Defender даже не пикнул, вел себя как гордый партизан.

Значит его работоспособность практически нулевая.  

 

Помогите пожалуйста вылечить компьютер. Не хочу сносить все и ставить снова т.к. на все покупал лицензии разовые.

 

CollectionLog-2020.12.26-13.01.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. 

[KapToXuH]

Выполнил..

KAV все еще не запускается.

 

CollectionLog-2020.12.26-13.34.zip

 

Увидел следующее действие в подобных случаях. Сделал проверку и выкладываю

Отчет FarBar 

FRST.rar

 

Вопользовался советом из этой темы, судя по всему аналогичная проблема.

Касперского установил. Вот отчет Security Check.

 

 

Жаль,, так и не понял, что это было, но теперь куплю лицензию Касперского и буду аккуратнее.

Windows Defender полная балалайка конечно...

SecurityCheck.txt

Изменено 26 декабря, 2020 пользователем KapToXuH

[Sandor]

1 час назад, KapToXuH сказал:

Вопользовался советом из этой темы, судя по всему аналогичная проблема

Это вы напрасно сделали. Скрипты пишутся индивидуально и, выполняя чужой, вы рискуете себе же навредить.

 

Первый скрипт AVZ выполняли, запустив программу от имени администратора?

 

Соберите свежие логи FRST.

[KapToXuH]

Свежие логи от FRST

FRST.rar

[KapToXuH]

7 часов назад, Sandor сказал:

Это вы напрасно сделали. Скрипты пишутся индивидуально и, выполняя чужой, вы рискуете себе же навредить.

 

Первый скрипт AVZ выполняли, запустив программу от имени администратора?

 

Соберите свежие логи FRST.

 

AVZ выполнил под администратором.

Свежие логи.. FRST-last.rar

[regist]

Свежие логи Автологером соберите.

 

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[KapToXuH]

В отдельной утилите AVZ у меня пункта 8 не оказалось, был только 6,7 и 9.

Но я смог выполнить скрипт +8 в Autolog - ведь он тоже на основе AVZ.

Свежий Autolog прикладываю.

 

 

 

Так-же LOG файл загружен, как требовалось выше.

 

Сведения о файле:

Размер файла, байт:	36230368
MD5:	2165897EF36A2183D0E54426DB46FC02

CollectionLog-2020.12.27-13.31.zip

Изменено 27 декабря, 2020 пользователем KapToXuH
Смог

[Sandor]

Качать специально ничего не нужно. Утилита находится в папке Автологера:

Цитата

C:\Users\Majesty\Desktop\Лечение\Autolog\AutoLogger\AV\av_z.exe

 

[KapToXuH]

Выполнил, процедуру еще раз.

CollectionLog-2020.12.27-13.46.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {12324DB8-3FBB-4906-9D26-FCD55AF337A0} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
  Task: {14F40861-FB08-461D-B58D-CDF24C795462} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
  Task: {3CEEF099-5F4B-42DB-89F1-7CC7CB5978B5} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
  Task: {D4996DA1-91E7-4A44-AAF5-FCCF8E5D070F} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[KapToXuH]

Выполнил

Fixlog.txt

[Sandor]

Если в папке AVZ есть файл 

AV_block_remove.log

прикрепите его к следующему сообщению.

[KapToXuH]

нет такого файла.

[Sandor]

Если проблема решена, завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.