Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Недавно возникло подозрение на заражение майнинг вирусом. Почистил компьютер Dr. Web Cureit!, всё стало в порядке. Решил установить KIS. Установка не запускается, курсор показывает, что что-то грузится на секунду и всё. Лог и прилагаются.

CollectionLog-2021.01.14-14.32.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          FSResetSecurity(fname);
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
end;

begin
AV_block_remove;
 ExecuteRepair(9);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Task: {16D73F86-7DCB-412F-A50D-A08FEF42AB72} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {57139B59-D807-4EAF-AA97-EC7A6E4CBAFD} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {853EF51E-D034-4B70-94C9-7F5990AB0B93} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {CC16E06D-B31B-4B18-9E06-36C16EC7344E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {EA82381E-C9AA-458F-B684-D46FB9C3A4FE} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    CHR StartupUrls: Default -> "hxxp://rusearch.co"
    2021-01-13 01:57 - 2020-09-22 00:17 - 000000000 __SHD C:\ProgramData\Doctor Web
    2021-01-08 11:24 - 2020-09-22 00:17 - 000000000 __SHD C:\rdp
    2020-08-18 07:24 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
    FirewallRules: [{91632F20-25D2-483A-A81A-5D4342C83C8D}] => (Allow) LPort=1688
    FirewallRules: [{FB0402FF-ADA3-41F0-A839-5D5E703ED397}] => (Block) LPort=445
    FirewallRules: [{5BD0BFC5-A68E-4CCD-8E81-0F23C2879603}] => (Block) LPort=445
    FirewallRules: [{08A2DB5E-E5FA-4461-897E-6C72D4ECE5EB}] => (Block) LPort=139
    FirewallRules: [{75EA24FD-5548-44D8-B266-225F4F2C574C}] => (Block) LPort=139
    FirewallRules: [{83832541-3BDE-4308-AB7F-D8975F133C97}] => (Allow) LPort=3389
    FirewallRules: [{372FB6B5-E45C-48E0-9270-5177308F0B5F}] => (Allow) LPort=3389
    FirewallRules: [{7F24E460-B053-4D82-A730-EAAE92197037}] => (Allow) LPort=80
    FirewallRules: [{530929B0-1BF1-442A-98F1-8C342E1D20B2}] => (Allow) LPort=443
    FirewallRules: [{1A1374A5-0603-441E-BE6A-9ECD7D6E6239}] => (Allow) LPort=20010
    FirewallRules: [{B145E1E1-EB43-4611-A21D-0EAD5CC1A3CE}] => (Allow) LPort=3478
    FirewallRules: [{7DB0906A-24BE-4767-A9A3-AC721C0DFC62}] => (Allow) LPort=7850
    FirewallRules: [{86F8D445-2730-4B3A-81B6-79A7FA9B6039}] => (Allow) LPort=7852
    FirewallRules: [{F5513B4F-E0CA-4731-A6D7-3570096DE25B}] => (Allow) LPort=7853
    FirewallRules: [{D789B695-8E8F-4733-B9E1-A2E1AB4C3842}] => (Allow) LPort=27022
    FirewallRules: [{004AC001-539B-435A-823B-24D3411AADC6}] => (Allow) LPort=6881
    FirewallRules: [{6CC26D65-5238-4E3F-B76D-F599DEC549FF}] => (Allow) LPort=33333
    FirewallRules: [{9C8217DA-C5A3-40E8-9CDD-3CEA7844FAF6}] => (Allow) LPort=20443
    FirewallRules: [{B1E12855-A0E9-410A-A3E3-039E50122742}] => (Allow) LPort=8090
    FirewallRules: [{9227FC82-2CE4-4BB8-8FE3-A1292745B172}] => (Block) LPort=445
    FirewallRules: [{D7763FAD-A056-4CA9-8B67-36B84FB4A6A1}] => (Block) LPort=445
    FirewallRules: [{BDCB3212-9A33-4335-9BB9-C694E7C70F4D}] => (Block) LPort=139
    FirewallRules: [{7343E293-3DDD-455A-97F8-B3645AE0C0A6}] => (Block) LPort=139
    FirewallRules: [{D0462F82-8461-402E-88DB-5BAD8B4CFBF0}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.10 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Hitman - Кровавые деньги / RePack by Edison007, 2011 / Full RUS Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Ещё, пожалуйста, сделайте дополнительно:

 

Скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Alex_kuz
      От Alex_kuz
      Проблемы начались после установки игры, репак якобы от Хоттаба, но подозрительный. Стала неактивной возможность восстановления системы - исправил, скачав reg файл у человека, разобравшегося с подобной проблемой. Исчезли все открытые вкладки в яндекс браузере. Это пока то, что "на виду".
      CollectionLog-2021.11.18-11.52.zip
    • Андрей Эверест
      От Андрей Эверест
      Здравствуйте. При установке Антивируса/Тотал секьюрити/Интернет секьюрити выдаёт ошибку 1303 на права к папке C:\ProgramData\Kaspersky Lab. kavremvr не помог. KVRT не находит вирусов. Права на папку есть.
    • leobosack
      От leobosack
      всем хай. перестал автоматически обновляться kis, стоит по пол месяца не обновляется, в ручную всё ок, версия 21.3.10.391(f) лицензия на 2 года, win 10 21H1 (со всеми обновлениями). что делать?
    • PitBuLL
      От PitBuLL
      Теперь на сайте https://www.kaspersky.ru/ нельзя что ли просто купить продление лицензии на 3 устройства? Надо там на сайте вводить свой ключ текущей лицензии? После этого только ссылка на покупку откроется?
      И в самой программе KIS 21 вводить новый резервный код надо куда? Весь интерфейс измененный (давно не открывал). Раньше пункт был: "ввести резервный код активации". 
      И почему ключ лицензии разный? Я покупал продление на 3 устройства в прошлом году на сайте же https://www.kaspersky.ru/  и мне пришел в письме код вида: DXXXX-XXXXX-PXXXX-XXXXX, а открываю программу KIS 21, жму на Лицензия (в правом нижнем углу), далее на "Показать детали" и вижу, что лицензионный ключ вообще другой, и начинается на А и сразу 8-мь знаков в первом блоке, далее по 4-ре знака в трёх блоках, и в последнем блоке вообще 12-ть знаков.
      И что означает в программе KIS21 - Лицензия активна, Дата продления ХХ сентября 2021 г.?
      Я вроде в прошлом году покупал продление лицензии на 3-и устройства за 1499 рублей на https://www.kaspersky.ru/ без авто продления. Помню, что галочка на авто продление уже стояла в квадратике при покупке, но я её снял.
      И как теперь понять будет выполнено авто продление или нет, спишется ли сумма с карты автоматически, и автоматически ли активируется новый код продления? Как это вообще происходит, ни когда ни чего с авто продлением не покупал. 
    • ska79
      От ska79
      Долго стартует gui KIS после загрузки ОС, переустановка KIS результатов не принесла. Может что вредоносное завелось?
      CollectionLog-2021.07.03-15.02.zip
×
×
  • Создать...