Перейти к содержанию
Правила раздела
Конкурс буквы "К"

Не устанавливается Total Security

Kwentar

Автор Kwentar,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Kwentar

Kwentar 0

Опубликовано
Опубликовано

Проблема как в недавней теме у другого человека. Обнаружил признаки заражения, сайты антивирусов открываются с боем, установочный файл касперского просто не запускается

Логи прилагаю

 

CollectionLog-2021.01.14-16.18.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 929

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          FSResetSecurity(fname);
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
end;

begin
AV_block_remove;
 ExecuteRepair(13);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на сообщение
Поделиться на другие сайты
Kwentar

Kwentar 0

Опубликовано
  • Автор
Опубликовано (изменено)
20 минут назад, Sandor сказал:

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 



{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          FSResetSecurity(fname);
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
end;

begin
AV_block_remove;
 ExecuteRepair(13);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. 

 

Прошу прощения за возможно глупый и дилетантский вопрос, но авз выдает вот такую ошибку при попытке запустить скрипт (во вложении)

Программы все закрыты, встроенная защиты винды отключена

 

UPD: прочитал сам скрипт, вижу что эта ошибка выводится из за версии авз, сейчас попробую еще раз на другой версии

 

image.png

Изменено пользователем Kwentar
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 929

Опубликовано
Опубликовано (изменено)

Виноват, не заметил, что вы собрали логи устаревшей версией. Удалите Автологер и созданную им папку.

Скачайте актуальную версию по ссылке из правил, запустите.

После того, как пройдет полное сканирование и появится новый CollectionLog, можете сразу выполнять скрипт.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Kwentar

Kwentar 0

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Sandor сказал:

Виноват, не заметил, что вы собрали логи устаревшей версией. Удалите Автологер и созданную им папку.

Скачайте актуальную версию по ссылке из правил, запустите.

После того, как пройдет полное сканирование и появится новый CollectionLog, можете сразу выполнять скрипт.

 

Архив карантин отправил через форму, новые логи прикрепляю

CollectionLog-2021.01.14-17.55.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 929

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Kwentar

Kwentar 0

Опубликовано
  • Автор
Опубликовано
7 минут назад, Sandor сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Прикрепляю оба файла

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 600

Опубликовано
Опубликовано

Раз Аваст удалили, то и рассширения из Хрома от него удалите

Цитата

CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]

+


AVAST Software a.s.
Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
Перезагрузите компьютер в безопасном режиме;
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
Нажмите REMOVE
Перезагрузите компьютер в нормальный режим

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
File: C:\Users\kwent\AppData\Roaming\VoiceMeeterDefault.xml
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [UDP Query User{DBD5CB82-B13A-4F7A-91FB-4E4D66D7B972}D:\games\they are billions\theyarebillions.exe] => (Allow) D:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [TCP Query User{CF4D3332-D926-4CDF-A912-7CB08D6D6A4C}D:\games\they are billions\theyarebillions.exe] => (Allow) D:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [UDP Query User{0AAFA662-D82F-4302-A44E-7D6AA1246BE6}D:\games\the escapists 2\theescapists2.exe] => (Allow) D:\games\the escapists 2\theescapists2.exe => No File
FirewallRules: [TCP Query User{B5469DA1-82E0-4367-A396-B9041A8E8639}D:\games\the escapists 2\theescapists2.exe] => (Allow) D:\games\the escapists 2\theescapists2.exe => No File
FirewallRules: [TCP Query User{2E0EB0B5-398B-4D35-9D38-BA3326E9B560}D:\games\oldworldtestbranch\oldworld.exe] => (Allow) D:\games\oldworldtestbranch\oldworld.exe => No File
FirewallRules: [UDP Query User{14EE22E4-1740-464A-AB27-D1A05301AE1C}C:\overwatch\_retail_\overwatch.exe] => (Allow) C:\overwatch\_retail_\overwatch.exe => No File
FirewallRules: [TCP Query User{782FFA67-1A7A-4A55-AB74-4E6772C7B58E}C:\overwatch\_retail_\overwatch.exe] => (Allow) C:\overwatch\_retail_\overwatch.exe => No File
FirewallRules: [UDP Query User{D706355A-CC33-423E-A28D-FA6CD057959C}D:\games\oldworld\oldworld.exe] => (Allow) D:\games\oldworld\oldworld.exe => No File
FirewallRules: [TCP Query User{2AD5E8E3-1986-4CE7-8570-C6C193DE5AEE}D:\games\oldworld\oldworld.exe] => (Allow) D:\games\oldworld\oldworld.exe => No File
FirewallRules: [{5A80462A-E6E6-4D56-B9F8-C02FA7E29CEC}] => (Allow) LPort=3389
FirewallRules: [{D7518FCF-78DE-45A3-82EB-45C0057EED82}] => (Allow) LPort=3389
FirewallRules: [{1AC2B1A9-A7DC-4C84-9554-4AD631550FC1}] => (Block) LPort=139
FirewallRules: [{50C4BC7C-B6B3-438B-A174-97F8753B1903}] => (Block) LPort=139
FirewallRules: [{BCA14095-1DB7-428B-8185-C2FF5C9948CD}] => (Block) LPort=445
FirewallRules: [{89733409-9F83-4F7F-A067-A513D1BC641D}] => (Block) LPort=445
FirewallRules: [{F0CA3A98-FB17-4022-8DD5-DC72542882A8}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{76F98D78-AD21-4A86-90C8-23A953411D66}] => (Allow) D:\SteamGames\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => No File
FirewallRules: [{41A00209-79B3-44EF-91AF-47CED5AD37B8}] => (Allow) D:\SteamGames\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => No File
FirewallRules: [TCP Query User{44D11D90-8E9F-4CDE-A0E4-A8DD4E22827F}D:\games\forhonor\forhonor.exe] => (Allow) D:\games\forhonor\forhonor.exe => No File
FirewallRules: [UDP Query User{C46DA0DC-BACE-4C64-A28F-8D3BE91363D3}D:\games\forhonor\forhonor.exe] => (Allow) D:\games\forhonor\forhonor.exe => No File
FirewallRules: [{6EF98A87-E5A8-476C-ADBF-E5FC577D01AF}] => (Allow) D:\SteamGames\steamapps\common\Crusader Kings III\launcher\dowser.exe => No File
FirewallRules: [{0CDACD15-5837-4B73-8E28-E3F81100ACE6}] => (Allow) D:\SteamGames\steamapps\common\Crusader Kings III\launcher\dowser.exe => No File
EmptyTemp:
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Kwentar

Kwentar 0

Опубликовано
  • Автор
Опубликовано
12 часов назад, regist сказал:

Раз Аваст удалили, то и рассширения из Хрома от него удалите

+


AVAST Software a.s.
Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
Перезагрузите компьютер в безопасном режиме;
Запустите утилиту на выполнение;
Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
Нажмите REMOVE
Перезагрузите компьютер в нормальный режим

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
File: C:\Users\kwent\AppData\Roaming\VoiceMeeterDefault.xml
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [UDP Query User{DBD5CB82-B13A-4F7A-91FB-4E4D66D7B972}D:\games\they are billions\theyarebillions.exe] => (Allow) D:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [TCP Query User{CF4D3332-D926-4CDF-A912-7CB08D6D6A4C}D:\games\they are billions\theyarebillions.exe] => (Allow) D:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [UDP Query User{0AAFA662-D82F-4302-A44E-7D6AA1246BE6}D:\games\the escapists 2\theescapists2.exe] => (Allow) D:\games\the escapists 2\theescapists2.exe => No File
FirewallRules: [TCP Query User{B5469DA1-82E0-4367-A396-B9041A8E8639}D:\games\the escapists 2\theescapists2.exe] => (Allow) D:\games\the escapists 2\theescapists2.exe => No File
FirewallRules: [TCP Query User{2E0EB0B5-398B-4D35-9D38-BA3326E9B560}D:\games\oldworldtestbranch\oldworld.exe] => (Allow) D:\games\oldworldtestbranch\oldworld.exe => No File
FirewallRules: [UDP Query User{14EE22E4-1740-464A-AB27-D1A05301AE1C}C:\overwatch\_retail_\overwatch.exe] => (Allow) C:\overwatch\_retail_\overwatch.exe => No File
FirewallRules: [TCP Query User{782FFA67-1A7A-4A55-AB74-4E6772C7B58E}C:\overwatch\_retail_\overwatch.exe] => (Allow) C:\overwatch\_retail_\overwatch.exe => No File
FirewallRules: [UDP Query User{D706355A-CC33-423E-A28D-FA6CD057959C}D:\games\oldworld\oldworld.exe] => (Allow) D:\games\oldworld\oldworld.exe => No File
FirewallRules: [TCP Query User{2AD5E8E3-1986-4CE7-8570-C6C193DE5AEE}D:\games\oldworld\oldworld.exe] => (Allow) D:\games\oldworld\oldworld.exe => No File
FirewallRules: [{5A80462A-E6E6-4D56-B9F8-C02FA7E29CEC}] => (Allow) LPort=3389
FirewallRules: [{D7518FCF-78DE-45A3-82EB-45C0057EED82}] => (Allow) LPort=3389
FirewallRules: [{1AC2B1A9-A7DC-4C84-9554-4AD631550FC1}] => (Block) LPort=139
FirewallRules: [{50C4BC7C-B6B3-438B-A174-97F8753B1903}] => (Block) LPort=139
FirewallRules: [{BCA14095-1DB7-428B-8185-C2FF5C9948CD}] => (Block) LPort=445
FirewallRules: [{89733409-9F83-4F7F-A067-A513D1BC641D}] => (Block) LPort=445
FirewallRules: [{F0CA3A98-FB17-4022-8DD5-DC72542882A8}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{76F98D78-AD21-4A86-90C8-23A953411D66}] => (Allow) D:\SteamGames\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => No File
FirewallRules: [{41A00209-79B3-44EF-91AF-47CED5AD37B8}] => (Allow) D:\SteamGames\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => No File
FirewallRules: [TCP Query User{44D11D90-8E9F-4CDE-A0E4-A8DD4E22827F}D:\games\forhonor\forhonor.exe] => (Allow) D:\games\forhonor\forhonor.exe => No File
FirewallRules: [UDP Query User{C46DA0DC-BACE-4C64-A28F-8D3BE91363D3}D:\games\forhonor\forhonor.exe] => (Allow) D:\games\forhonor\forhonor.exe => No File
FirewallRules: [{6EF98A87-E5A8-476C-ADBF-E5FC577D01AF}] => (Allow) D:\SteamGames\steamapps\common\Crusader Kings III\launcher\dowser.exe => No File
FirewallRules: [{0CDACD15-5837-4B73-8E28-E3F81100ACE6}] => (Allow) D:\SteamGames\steamapps\common\Crusader Kings III\launcher\dowser.exe => No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Помогло, установочный файл запустился, спасибо!

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 929

Опубликовано
Опубликовано
12 часов назад, regist сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Не прикрепили.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Андрей Эверест
      [РЕШЕНО] Не устанавливается ни один из продуктов Касперский
      От Андрей Эверест
      Здравствуйте. При установке Антивируса/Тотал секьюрити/Интернет секьюрити выдаёт ошибку 1303 на права к папке C:\ProgramData\Kaspersky Lab. kavremvr не помог. KVRT не находит вирусов. Права на папку есть.
    • twinssniwt
      Не запускается установка Kaspersky. Windows10. Неизвестный пользователь в системе.
      От twinssniwt
      Здравствуйте. Прошу помощи. Не устанавливается антивирус Касперский. Сделал анализ  FRST. Файлы прилагаю. В системе оказывается есть неизвестный мне пользователь john. Как бы и с ним разобраться не мешало. Но не знаю как. Хелп, люди. 
      Documents.rar
    • tiodorihh
      [РЕШЕНО] Не устанавливается ни один антивирус
      От tiodorihh
      Здравствуйте.
      KVRT открывается, но не работает кнопка "начать сканирование". Запускался cureit, но ничего не нашел. Ни один антивирус не устанавливается.
    • Иван71
      Проблема с установкой KIS
      От Иван71
      Итак, проблема в том что KIS ни в какую не хочет ставиться.. не совсем понятно это все еще вирус или уже нет, но с соседней ветки коллеги отправили сюда.. вот ссылка на тему :
       
      GSI : https://www.getsysteminfo.com/report/2b60442f6e1fb3a574f41ed9cd9fe27f
    • evil178123
      Не устанавливается KIS
      От evil178123
      Добрый день. Недавно возникло подозрение на заражение майнинг вирусом. Почистил компьютер Dr. Web Cureit!, всё стало в порядке. Решил установить KIS. Установка не запускается, курсор показывает, что что-то грузится на секунду и всё. Лог и прилагаются.
      CollectionLog-2021.01.14-14.32.zip
×
×
  • Создать...