Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Недавно возникло подозрение на заражение майнинг вирусом. Почистил компьютер Dr. Web Cureit!, всё стало в порядке. Решил установить KIS. Установка не запускается, курсор показывает, что что-то грузится на секунду и всё. Лог и прилагаются.

CollectionLog-2021.01.14-14.32.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          FSResetSecurity(fname);
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
end;

begin
AV_block_remove;
 ExecuteRepair(9);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Task: {16D73F86-7DCB-412F-A50D-A08FEF42AB72} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {57139B59-D807-4EAF-AA97-EC7A6E4CBAFD} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {853EF51E-D034-4B70-94C9-7F5990AB0B93} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {CC16E06D-B31B-4B18-9E06-36C16EC7344E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {EA82381E-C9AA-458F-B684-D46FB9C3A4FE} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    CHR StartupUrls: Default -> "hxxp://rusearch.co"
    2021-01-13 01:57 - 2020-09-22 00:17 - 000000000 __SHD C:\ProgramData\Doctor Web
    2021-01-08 11:24 - 2020-09-22 00:17 - 000000000 __SHD C:\rdp
    2020-08-18 07:24 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
    FirewallRules: [{91632F20-25D2-483A-A81A-5D4342C83C8D}] => (Allow) LPort=1688
    FirewallRules: [{FB0402FF-ADA3-41F0-A839-5D5E703ED397}] => (Block) LPort=445
    FirewallRules: [{5BD0BFC5-A68E-4CCD-8E81-0F23C2879603}] => (Block) LPort=445
    FirewallRules: [{08A2DB5E-E5FA-4461-897E-6C72D4ECE5EB}] => (Block) LPort=139
    FirewallRules: [{75EA24FD-5548-44D8-B266-225F4F2C574C}] => (Block) LPort=139
    FirewallRules: [{83832541-3BDE-4308-AB7F-D8975F133C97}] => (Allow) LPort=3389
    FirewallRules: [{372FB6B5-E45C-48E0-9270-5177308F0B5F}] => (Allow) LPort=3389
    FirewallRules: [{7F24E460-B053-4D82-A730-EAAE92197037}] => (Allow) LPort=80
    FirewallRules: [{530929B0-1BF1-442A-98F1-8C342E1D20B2}] => (Allow) LPort=443
    FirewallRules: [{1A1374A5-0603-441E-BE6A-9ECD7D6E6239}] => (Allow) LPort=20010
    FirewallRules: [{B145E1E1-EB43-4611-A21D-0EAD5CC1A3CE}] => (Allow) LPort=3478
    FirewallRules: [{7DB0906A-24BE-4767-A9A3-AC721C0DFC62}] => (Allow) LPort=7850
    FirewallRules: [{86F8D445-2730-4B3A-81B6-79A7FA9B6039}] => (Allow) LPort=7852
    FirewallRules: [{F5513B4F-E0CA-4731-A6D7-3570096DE25B}] => (Allow) LPort=7853
    FirewallRules: [{D789B695-8E8F-4733-B9E1-A2E1AB4C3842}] => (Allow) LPort=27022
    FirewallRules: [{004AC001-539B-435A-823B-24D3411AADC6}] => (Allow) LPort=6881
    FirewallRules: [{6CC26D65-5238-4E3F-B76D-F599DEC549FF}] => (Allow) LPort=33333
    FirewallRules: [{9C8217DA-C5A3-40E8-9CDD-3CEA7844FAF6}] => (Allow) LPort=20443
    FirewallRules: [{B1E12855-A0E9-410A-A3E3-039E50122742}] => (Allow) LPort=8090
    FirewallRules: [{9227FC82-2CE4-4BB8-8FE3-A1292745B172}] => (Block) LPort=445
    FirewallRules: [{D7763FAD-A056-4CA9-8B67-36B84FB4A6A1}] => (Block) LPort=445
    FirewallRules: [{BDCB3212-9A33-4335-9BB9-C694E7C70F4D}] => (Block) LPort=139
    FirewallRules: [{7343E293-3DDD-455A-97F8-B3645AE0C0A6}] => (Block) LPort=139
    FirewallRules: [{D0462F82-8461-402E-88DB-5BAD8B4CFBF0}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.10 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Hitman - Кровавые деньги / RePack by Edison007, 2011 / Full RUS Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Ещё, пожалуйста, сделайте дополнительно:

 

Скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Alexsandr.Z
      Добрый день!
      На первый взгляд работа установщика проходит нормально. Он запускается, скачивает файлы, затем просит перезагрузку, устанавливаем флажки и завершение.
      Но программа фактически не устанавливается, нет файлов в Program Files, нет ярлыков запуска. 
      В каталоге c:\Program Files (x86)\Kaspersky Lab\ появляется только Kaspersky Password Manager 9.0.2.
      Буду рад помощи, спасибо.
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам CollectionLog-2021.05.09-20.39.zip FRST.zip
    • От twinssniwt
      Здравствуйте. Прошу помощи. Не устанавливается антивирус Касперский. Сделал анализ  FRST. Файлы прилагаю. В системе оказывается есть неизвестный мне пользователь john. Как бы и с ним разобраться не мешало. Но не знаю как. Хелп, люди. 
      Documents.rar
    • От Elly
      Друзья!

      Предлагаем принять участие в традиционной викторине по линейке популярного решения защиты «Лаборатории Касперского» среди домашних пользователей — Kaspersky Internet Security. Первый коммерческий релиз «Kaspersky Internet Security для Windows — 2021» для многих регионов состоялся преимущество в августе 2020 года. На сегодня версия 2021 получила несколько обновлений не только патчами, но и несколькими дополнительными выпусками (Maintenance Release). Викторина позволит вам проверить и расширить свои знания о данном продукте.
       

       
      Вопросы викторины относятся к программе «Kaspersky Internet Security для Windows — 2021» версии 21.3.10.3911 (загрузить программу можно на странице поддержки), если в формулировке вопроса не указано иное. Викторина состоит из 20-ти вопросов без разделения на уровни сложности.

      Викторина проводится с 06 мая по 2000  24 мая 2021 года (время московское). Принять в ней участие могут все зарегистрированные пользователи форума фан-клуба «Лаборатории Касперского», кроме её организаторов2.
       
      НАГРАЖДЕНИЕ И ПРИЗОВОЙ ФОНД
      Без ошибок — 3'000 баллов Одна ошибка — 2'750 баллов Две ошибки — 2'250 баллов Три ошибки — 1'500 баллов Четыре ошибки — 500 баллов Первый участник, правильно ответивший на все вопросы, получит дополнительно к баллам лицензию на Kaspersky Security Cloud3. Второй и третий участники, верно ответившие на все вопросы, получат дополнительно к баллам лицензию на Kaspersky Total Security3.
      Первые 5 участников, сообщившие промокод @MASolomko (копия @Elly) в личном сообщении, получат дополнительное вознаграждение в виде лицензии на Kaspersky Secure Connection3.

      Для получения призов участнику необходимо иметь на форуме не менее 25-ти сообщений на момент завершения проведения викторины. Вознаграждение за найденный промокод вручается тем участникам, которые ответили правильно на одиннадцать вопросов и больше. Накопленные баллы можно потратить в нашем магазине.
      Замена полученных лицензий на баллы не предусмотрена.
       
      ПРОВЕДЕНИЕ ВИКТОРИНЫ
      Правильные ответы будут опубликованы не позднее 31 мая 2021 года. Публичное обсуждение вопросов и ответов викторины запрещено (в том числе и вопросы касательно промокода). Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @MASolomko (пользователя @Elly включать в копию адресатов) только через систему личных сообщений с подробным описанием ситуации. Вопросы принимаются в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан коллегиальным решением организаторов викторины2, путём ответа представителя от организаторов викторины в рамках ранее созданной переписки, и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение тридцати дней с момента подведения её итогов. Викторина является собственностью фан-клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации фан-клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
      Удачи!
      _ _ _
      1 Установка патчей не влияет на прохождение викторины. Патч применяется после перезагрузки компьютера.
      2 К организаторам викторины относятся составители, ОТК, тестировщики.
      3 Лицензия на защиту нескольких устройств, работающих на платформе Windows, Mac и Android. Пользователю @Elly необходимо сообщить регион использования лицензии.
    • От Kirik_
      Приобрел в прошлом месяце за баллы электронную лицензию на KIS. На 1 год на 2 устройства.

       
       
      Друзья, у кого-нибудь были проблемы с активацией лицензии, купленной на фан-клубе за баллы? Моя же лицензия после установки KIS на чистую ОС на тот же комп не активируется. Пишет, что превышено количество активаций. Хотя ключ активирован на 2ПК, согласно лиц. соглашению. Больше нигде.
      А не может такого быть, что бы кому-то еще "улетела" моя же лицензия при покупке ее за баллы? Она ведь электронная. Кто их отслеживает? Или это исключено?

       
      P.S. что сделать - я знаю. Уже написал в ТП ЛК. Они выясняют. Вопрос именно в причине. Когда лицензию на KIS за деньги покупал - все ОК было. А тут такое.
       
      Сообщение от модератора kmscom Сообщение перенесено из темы [Лицензия] Kaspersky Internet Security (Windows, Mac OS, Android)  
×
×
  • Создать...