Удаление вирусов

[Oleg 22]

10.09.2020 в 20:14, Николай749 сказал:

Здравствуйте. У меня стоял Антивирус Касперского Тотал Секьюрити, но он не обновлялся. Вернее вирусные базы обновлялись, а вот сам антивирус в 2020 году у меня был только 2018. Хотел обновить, но обновление не запустилось. Начались проблемы с Менеджером паролей и с Родительским контролем. Я их удалил, и хотел установить их по отдельности. Тоже не вышло. Удалил полностью старую версию Касперского. И хотел поставить новую версию, но новая версия не устанавливается. То есть я открываю ЕХЕ файл, а в ответ ничего не происходит. Пытался запустить ESETOnlineScanner_RUS, но сразу после начала установки появляется ошибка. Ругается на ограничение прав. Запускал AdwCleaner, нашел 2 вируса. Пытаюсь запустить KVRT, но после нажатия кнопки "начать проверку" ничего не происходит. Запускал kavremvr, остатков от старого антивируса вроде нет. Сканировал dr.web cureit, все чисто. Защитник Виндовс нашел вирусы, но не критичные. Я их тут же удалил. Но это не помогло. Я видел здесь уже похожую тему. В ней парню помогли пофиксить эту проблему с помощью Fabar recovery. Может и мне помогут?

 

 

Добрый день, хотел попросить у вас помощи, у меня такая же проблема как у Николай749, я уже скачал Farbar Recovery Scan Tool и сканировал компьютер. Файлы FRST.txt и Addition.txt прикрепил к сообщению.

Архив WinRAR.rar

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[SQ]

Здравствуйте,

• Удалите остатки от антивируса Avast утилитой Avast Remover.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-837395213-2167769119-3125176079-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [No File]
File: C:\WINDOWS\SysWOW64\CoreMas.dll
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Олег\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
FirewallRules: [{B6F92D1C-385F-46B8-9784-F3816474A9E1}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{EDF40020-3D1F-47AA-B60F-6B39FA7C9A04}] => (Allow) C:\Users\Олег\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [UDP Query User{0E498DC3-7A70-44C3-827A-1A6A9761E7E0}C:\program files\cisco packet tracer 7.2\bin\packettracer7.exe] => (Allow) C:\program files\cisco packet tracer 7.2\bin\packettracer7.exe => No File
FirewallRules: [TCP Query User{C8FD213B-562E-4804-B84E-772F081C7FCD}C:\program files\cisco packet tracer 7.2\bin\packettracer7.exe] => (Allow) C:\program files\cisco packet tracer 7.2\bin\packettracer7.exe => No File
FirewallRules: [UDP Query User{4A276D94-C4E2-43FA-A196-310DAD0AF8E7}C:\users\олег\appdata\local\crossout\launcher.exe] => (Allow) C:\users\олег\appdata\local\crossout\launcher.exe => No File
FirewallRules: [TCP Query User{4771DB79-D947-492F-97CE-C07526153AE8}C:\users\олег\appdata\local\crossout\launcher.exe] => (Allow) C:\users\олег\appdata\local\crossout\launcher.exe => No File
FirewallRules: [{A2B600C2-3A46-419E-BD23-4A607C4D71B3}] => (Allow) C:\Users\Олег\ACaEMQ.exe => No File
FirewallRules: [TCP Query User{0D0F47B9-2BF0-414B-A152-E6825E1DE932}C:\users\олег\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\олег\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [UDP Query User{5B540E8A-203B-4378-B583-136BDC1617F8}C:\users\олег\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\олег\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [TCP Query User{6E3E8720-7F6B-4118-BE12-BEBDD1740229}C:\users\олег\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\олег\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [UDP Query User{FD52709F-D9ED-4059-B298-1E3E1849D49E}C:\users\олег\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\олег\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [{649C21D1-80DD-4DB0-A1B8-FA7AB7D657B1}] => (Allow) C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64server.exe => No File
FirewallRules: [{5B9B40AE-1685-40E4-8E0D-44E3B74A4B69}] => (Allow) C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64server.exe => No File
FirewallRules: [{DB640587-F552-44F9-8FC1-3EFFB54B2E3C}] => (Allow) C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64.exe => No File
FirewallRules: [{659C97A5-BF48-4142-8DCF-C11965D4BA8B}] => (Allow) C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64.exe => No File
FirewallRules: [{1B3132C1-9C4B-48AD-A097-A9EA098CDE62}] => (Allow) C:\Program Files (x86)\Parom.TV\paromplayer.exe => No File
FirewallRules: [{46947659-5F1A-4E2A-B239-F72F0A2140F4}] => (Allow) C:\Program Files (x86)\Parom.TV\paromplayer.exe => No File
FirewallRules: [TCP Query User{34EFF178-7AF9-4E15-8A72-868C452DE93C}C:\users\олег\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\олег\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [UDP Query User{B2B508B6-8742-4ECB-B61F-5DF6CF7F6E4C}C:\users\олег\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\олег\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [TCP Query User{0A4283B3-1BF8-42FF-9886-83C65505869F}C:\program files (x86)\city car driving\bin\win32\starter.exe] => (Allow) C:\program files (x86)\city car driving\bin\win32\starter.exe => No File
FirewallRules: [UDP Query User{24B9C8A7-4B3D-44E2-B006-8D430D4915BE}C:\program files (x86)\city car driving\bin\win32\starter.exe] => (Allow) C:\program files (x86)\city car driving\bin\win32\starter.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

5. Обратите внимание, что компьютер будет перезагружен.

Приложите логи согласно правилам, как ранее вам было предложено выполнить.

[Oleg 22]

Готово

Fixlog.rar

[SQ]

Предоставьте пожалуйста логи автологера согласно правилам и новые логи FRST.

[Oleg 22]

Готово

Архив WinRAR.rar

[thyrex]

53 минуты назад, SQ сказал:

Предоставьте пожалуйста логи автологера согласно правилам

Это для кого написано было ?

https://forum.kasperskyclub.ru/topic/43640-porjadok-oformlenija-zaprosa-o-pomoshhi/

 

[Oleg 22]

логи автологера

CollectionLog-2021.01.08-20.15.zip

Изменено 8 января, 2021 пользователем Oleg 22

[Oleg 22]

новые логи FRST

логи FRST.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2020-05-08 16:52 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
2020-11-29 18:24:54 ----HD---- C:\Program Files\RDP Wrapper
2020-11-29 18:01:23 ----SHD---- C:\ProgramData\RealtekHD
2020-11-29 18:01:05 ----SHD---- C:\ProgramData\WindowsTask
2020-11-29 18:00:24 ----SHD---- C:\ProgramData\Windows
FirewallRules: [{E9B3B6A9-B283-4EC7-A098-C2F528150E2C}] => (Allow) LPort=3389
FirewallRules: [{32428C0A-3FE1-43A0-9CA4-DB4490C2285A}] => (Block) LPort=139
FirewallRules: [{AFD0FD65-88CD-4077-8270-7EDCC2F84271}] => (Block) LPort=445
FirewallRules: [{33214BD0-4BA9-425F-8C1B-C73445A4CCA1}] => (Block) LPort=139
FirewallRules: [{B5654626-5347-4BD6-8414-0B204B0F6290}] => (Block) LPort=445
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ из папки Autologger

var OSVer: string;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer:= RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Oleg 22]

создаст лог-файл (Fixlog.txt) прикрепил его к сообщению

 

Выполнил скрипт в AVZ из папки Autologger

 

Fixlog.rar

[thyrex]

Что сейчас с проблемой?

[Oleg 22]

проблема такая же но начал работать защитник виндовс

[thyrex]

Выполните скрипт в AVZ из папки Autologger

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('bebca3bc90');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 fname:= '%windir%'+'\WrpYGF74DrEm.ini';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

AV_block_remove.log из папки с AVZ также прикрепите к сообщению.

[Oleg 22]

странно но я ничего не делал а касперский сам начал устанавливаться