Перейти к содержанию

Не удаётся установить антивирус


Рекомендуемые сообщения

Доброго дня!

 

Недавно перестал работать антивирус Malwere, что встревожило. Следующий симптом - стали сами по себе закрываться папки, браузер, диспетчер задач, гуляли ярлыки по рабочему столу. При попытке скачать ЛЮБОЙ антивирус вкладки браузера либо показывали отсутствие интернет соединения, либо закрывались. Каким-то чудом скачала ESET Online и с его помощью вытравила с полсотни троянов. Стало лучше, однако, ни один антивирус по-прежнему не устанавливается - либо сообщение об устаревшей системе, либо неверный путь, либо запрет системы. 

Далее нашла ваш сайт, по инструкции скачала сперва Касперский и он даже установился, но кнопка "начать" оказалась некликабельна. Скачала DrWeb, но он проблем не обнаружил. Протокол сбора лог-файлов почему-то не могу прикрепить. Очень прошу вашей помощи! 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Как быть если результат пуст?

Снимок.PNG

 

Предполагаю что интернет дерьмо, так как загрузка файла карантина занимает около получаса.

 

В общем, новые логи во вложении. Надеюсь, всё сделала правильно.

CollectionLog-2021.01.05-00.32.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {6d902e4d-b0ec-11ea-86c8-ac7debd57066} - H:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {95f24379-a679-11ea-8bfa-bb4828924e44} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {a15543b1-2f07-11ea-a159-b0b5490d2411} - G:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {bd28bbef-4365-11e0-8bc5-fab7d366dff7} - G:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {d54a77c3-425a-11e0-a3f9-b7b2d07588f9} - G:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {d54a77d2-425a-11e0-a3f9-b7b2d07588f9} - G:\AutoRun.exe
HKU\S-1-5-21-236904230-1664417934-3192468743-1001\...\MountPoints2: {e7d3df72-2c43-11e0-af75-806e6f6e6963} - F:\1049\autorun.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {11166551-A3EC-4128-B6FC-CBB41BBCFFB0} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
Task: {1A2301C9-5FD2-4FC0-9D32-EDB2C02724F2} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
Task: {9177FB1E-03CD-47CB-A205-565534AF54F2} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {A83365ED-AD10-4E7E-98D7-A9248717B3AD} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
2020-12-18 20:15 - 2020-12-18 20:17 - 000000000 ____D C:\Users\Все пользователи\bebca3bc90
2020-12-18 20:15 - 2020-12-18 20:17 - 000000000 ____D C:\ProgramData\bebca3bc90
2020-12-18 20:15 - 2020-12-18 20:15 - 000000000 ____D C:\Users\Все пользователи\a53e48988c0aef
2020-12-18 20:15 - 2020-12-18 20:15 - 000000000 ____D C:\ProgramData\a53e48988c0aef
2020-12-18 20:15 - 2020-12-18 19:38 - 000000000 _____ C:\Users\Все пользователи\152123690423016644179343
2020-12-18 20:15 - 2020-12-18 19:38 - 000000000 _____ C:\ProgramData\152123690423016644179343
2020-12-18 20:24 - 2016-01-10 02:26 - 000000000 ____D C:\Users\Мастер\AppData\Local\herYVeGgHXdVI
2020-12-18 20:23 - 2016-01-10 02:26 - 000000000 ____D C:\Users\Мастер\AppData\Local\EiDbJkrrVMUZX
FirewallRules: [{68E196FB-84BE-4506-B4D3-DB372EBD1D84}] => (Allow) C:\Users\Мастер\AppData\Local\MediaGet2\mediaget.exe => No File
FirewallRules: [{F30FA2ED-0729-4986-9E7F-38B31F4D2AC6}] => (Allow) C:\Users\Мастер\AppData\Local\MediaGet2\mediaget.exe => No File
FirewallRules: [{7D667B9D-D511-4DAD-9F3E-9AD82E8E1E66}] => (Allow) C:\Users\Мастер\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{50FDBBC3-E2D9-4972-8AB4-C9108054CAEA}] => (Allow) C:\Users\Мастер\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{09684D68-5452-4EFF-803F-5FD639852252}] => (Block) LPort=139
FirewallRules: [{C96EE36B-CC8E-4801-82D1-1156A01371D7}] => (Block) LPort=445
FirewallRules: [{2FAC003D-74E2-4682-B71B-8989A6D37168}] => (Block) LPort=445
FirewallRules: [{1596BC50-C3CD-40A9-978C-9F81D3CE108C}] => (Block) LPort=139
FirewallRules: [{27CA3F08-16F0-4A5A-80A6-6F6B18496948}] => (Allow) LPort=3389
FirewallRules: [{4CA727E2-D2D0-4FB3-9709-613E76FA9C62}] => (Allow) LPort=3389
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.smaxl.net
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.smaxl.net
AlternateDataStreams: C:\ProgramData\Temp:163CAB5A [210]
AlternateDataStreams: C:\ProgramData\Temp:2CB9631F [270]
AlternateDataStreams: C:\ProgramData\Temp:BF14D50A [272]
AlternateDataStreams: C:\Users\Все пользователи\Temp:163CAB5A [210]
AlternateDataStreams: C:\Users\Все пользователи\Temp:2CB9631F [270]
AlternateDataStreams: C:\Users\Все пользователи\Temp:BF14D50A [272]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Посоветуйте пожалуйста какой бесплатный антивирус скачать и если можно, поделитесь ссылкой.

 

В общем, я купила минимальный пакет Kaspersky Anti-Virus и... не могу его установить потому что Касперский при установке находит Malwere, удаляет его, перезагружает ноут, снова находит его же, снова удаляет... и так бесконечно. Причём, в панели управления приложениями Malwere и в помине нет, я давно его удалила. Нужна помощь!

Снимок.PNG

 

Отбой тревоги. Антивирус установлен, сканирует.

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, Ms__Freeman сказал:

в панели управления приложениями Malwere и в помине нет

Попробуйте очистить хвосты этой утилитой.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, Sandor сказал:

Попробуйте очистить хвосты этой утилитой.

насколько помню там даже нету просто пункта удалить. Эта утилита в отличие от прошлой предназначена не для удаления MBAM (или его хвостов), а для помощи в его установке и обращения в их тех. поддержку.

Так что лучше укажи какой конкретный пункт там лучше выбрать для удаления.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...