Windows 10 Home , не устанавливается KIS. Вирус майнер.

[Иван71]

Здравствуйте. Не могу установить KIS, оишбка при установке. Проблема следующая. Заметил что компьютер начал сильно "грузится" даже в режиме простоя. Обратил внимание что что то грузит его на 100% при том что я ничего не делаю вообще. При открытии диспетчера задач процесс тут же "прячется" и нагрузка падает на комп. В файле hosts было это содержимое: 

Спойлер

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 codeload.github.com

127.0.0.1 support.kaspersky.ru

127.0.0.1 kaspersky.ru

127.0.0.1 virusinfo.info

127.0.0.1 forum.kasperskyclub.ru

127.0.0.1 cyberforum.ru

127.0.0.1 soft-file.ru

127.0.0.1 www.360totalsecurity.com

127.0.0.1 cezurity.com

127.0.0.1 www.dropbox.com

127.0.0.1 193.228.54.23

127.0.0.1 spec-komp.com

127.0.0.1 eset.ua

127.0.0.1 panel.koronavirusfuck.xyz

127.0.0.1 360totalsecurity.com

127.0.0.1 www.esetnod32.ru

127.0.0.1 www.comss.ru

127.0.0.1 blog-pc.ru

127.0.0.1 www.securrity.ru

127.0.0.1 vellisa.ru

127.0.0.1 download-software.ru

127.0.0.1 drweb-cureit.ru

127.0.0.1 softpacket.ru

127.0.0.1 www.kaspersky.com


127.0.0.1 www.avast.ua

127.0.0.1 www.avast.ru

127.0.0.1 zillya.ua

127.0.0.1 safezone.ua

127.0.0.1 vms.drweb.ru

127.0.0.1 www.drweb.ua

127.0.0.1 free.drweb.ru

127.0.0.1 biblprog.org.ua

127.0.0.1 free-software.com.ua

127.0.0.1 free.dataprotection.com.ua

127.0.0.1 www.drweb.com

127.0.0.1 www.softportal.com

127.0.0.1 www.nashnet.ua

127.0.0.1 softlist.com.ua


127.0.0.1 it-doc.info

127.0.0.1 esetnod32.ru

127.0.0.1 blog-bridge.ru

127.0.0.1 remontka.pro

127.0.0.1 securos.org.ua

127.0.0.1 pc-helpp.com

127.0.0.1 softdroid.net


127.0.0.1 malwarebytes.com

127.0.0.1 ru.vessoft.com

127.0.0.1 AlpineFile.ru

127.0.0.1 malwarebytes-anti-malware.ru.uptodown.com

127.0.0.1 ProgramDownloadFree.com

127.0.0.1 download.cnet.com

127.0.0.1 soft.mydiv.net

127.0.0.1 spyware-ru.com

127.0.0.1 remontcompa.ru

127.0.0.1 www.hitmanpro.com

127.0.0.1 hitman-pro.ru.uptodown.com

127.0.0.1 www.bleepingcomputer.com

127.0.0.1 soft.oszone.net

127.0.0.1 krutor.org

127.0.0.1 RuTracker.org

127.0.0.1 www.greatis.com

127.0.0.1 unhackme.ru.uptodown.com

127.0.0.1 programy.com.ua


127.0.0.1 softobase.com


127.0.0.1 www.besplatnoprogrammy.ru

127.0.0.1 unhackme.en.softonic.com

127.0.0.1 unhackme.com

127.0.0.1 unhackme.ru

127.0.0.1 nnm-club.name

127.0.0.1 vgrom.com

127.0.0.1 moneropool.com

127.0.0.1 mine.moneropool.com

127.0.0.1 xmr.cryptopool.org

127.0.0.1 pool.monero.org

127.0.0.1 minexmr.com

127.0.0.1 monero.crypto-pool.fr

127.0.0.1 dwarfpool.com

127.0.0.1 disk-space.ru








127.0.0.1 file7.ru


127.0.0.1 ufille.ru

127.0.0.1 rgho.st

127.0.0.1 yadi.su

127.0.0.1 catcut.net

127.0.0.1 fsdisk.ru

127.0.0.1 rpfile.ru

127.0.0.1 cheats.file-a.ru

127.0.0.1 file-space.org

127.0.0.1 sfailo.ru

127.0.0.1 sendspace.com

127.0.0.1 www.sendspace.com

127.0.0.1 fille-7.ru

127.0.0.1 loufile.ru

127.0.0.1 file-seven.com

127.0.0.1 file-a.ru

127.0.0.1 fail-7.ru

127.0.0.1 1-kk.ru

127.0.0.1 rufile.net

127.0.0.1 filexpwx.space

127.0.0.1 sfile.net

127.0.0.1 mdiskfile.com

127.0.0.1 mega.nz

127.0.0.1 dfile.su

127.0.0.1 rgfail.ru

127.0.0.1 rudwnl.ru

127.0.0.1 dfile.info

127.0.0.1 flles.ru

127.0.0.1 pool.minexmr.to


127.0.0.1 ska4ay.pl

127.0.0.1 ska4ay.ru

127.0.0.1 ska4ay.club

127.0.0.1 ska4ay.net

127.0.0.1 ska4ay.org

127.0.0.1 ska4ay.com

127.0.0.1 ska4ay.pro

127.0.0.1 ska4ay.pw

127.0.0.1 ska4ay.online

127.0.0.1 skachaty.pl

127.0.0.1 skachaty.ru

127.0.0.1 skachaty.club

127.0.0.1 skachaty.net

127.0.0.1 skachaty.org

127.0.0.1 skachaty.com

127.0.0.1 skachaty.pro

127.0.0.1 skachaty.pw

127.0.0.1 skachaty.online

127.0.0.1 skachay.pl

127.0.0.1 skachay.ru

127.0.0.1 skachay.club

127.0.0.1 skachay.net

127.0.0.1 skachay.org

127.0.0.1 skachay.com

127.0.0.1 skachay.pro

127.0.0.1 skachay.pw

127.0.0.1 skachay.website

127.0.0.1 skachay.online

127.0.0.1 ska4aty.pl

127.0.0.1 ska4aty.ru

127.0.0.1 ska4aty.club

127.0.0.1 ska4aty.net

127.0.0.1 ska4aty.org

127.0.0.1 ska4aty.com

127.0.0.1 ska4aty.pro

127.0.0.1 ska4aty.pw

127.0.0.1 ska4aty.online
0.0.0.0 analytics.ff.avast.com
0.0.0.0 ipm-provider.ff.avast.com
0.0.0.0 license.piriform.com
0.0.0.0 www.ccleaner.com
0.0.0.0 shepherd.ff.avast.com
0.0.0.0 ncc.avast.com
0.0.0.0 ncc.avast.com.edgesuite.net
0.0.0.0 ip-info.ff.avast.com

 

кое как вроде удалось все очистить, но проблему это решило не до конца. KVRT не ставится, "Ошибка загрузки драйвера" ; "Ошибка загрузки драйвера расширенного мониторинга"

CollectionLog-2021.01.21-12.26.zip

Изменено 21 января, 2021 пользователем Иван71

[Иван71]

Farbar файлы

farbar.rar

[Sandor]

Здравствуйте!

 

Не нужно сразу все логи выкладывать. Действуем последовательно.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i : integer;

begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  AddToLog(fname + ' - Exists');
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure Del_c_rdp;
var c_rdp: string;

begin
 c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp');
 if DirectoryExists(NormalDir(c_rdp)) then
	  begin
		  AddToLog(c_rdp + ' - Exists');
		  FSResetSecurity(c_rdp);
		  QuarantineFile(c_rdp + 'RDPWInst.exe', '');
		  DeleteFile(c_rdp + 'RDPWInst.exe');
		  DeleteDirectory(c_rdp);
	  end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
 if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
 begin
  AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists');
  BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
  RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
  RegKeyParamDel('HKEY_USERS', PolExplKey, DR);
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 SetupAVZ('debug=y');
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 Del_c_rdp;
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
 L_SID := TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun('\'+ L_SID[i]);
 L_SID.Free;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 3, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

[Иван71]

Результат загрузки:

Иван71, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.01.21_quarantine_76cdb2bad9582d23c1f6f4d868218d6c.zip

 

И еще 1, только уже из AVZ ( который отдельно, не внутри автологера ) 

 

Результат загрузки:

Иван71, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.01.21_quarantine_fb132eaede7896e3816fc11bd9da82e9.zip

Изменено 21 января, 2021 пользователем Иван71

[Sandor]

23 минуты назад, Иван71 сказал:

из AVZ ( который отдельно, не внутри автологера )

А это ещё зачем? Разве была такая рекомендация?

 

35 минут назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. 

И прикрепите новый CollectionLog.

[Иван71]

CollectionLog-2021.01.21-13.21.zip

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger.

Изменено 21 января, 2021 пользователем regist

[Иван71]

CollectionLog-2021.01.21-13.45.zip

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Иван71]

farbar.rar

[regist]

startmain.ru/ - этот сайт вам знаком? Сами его стартовым ставили?

[Иван71]

3 минуты назад, regist сказал:

startmain.ru/ - этот сайт вам знаком? Сами его стартовым ставили?

неа. скажу больше, он нигде не стартует с него, в барузерах.. 

Изменено 21 января, 2021 пользователем Иван71

[regist]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  CHR StartupUrls: Default -> "hxxp://startmain.ru/"
  FirewallRules: [{B31AE8FE-FFA8-4AE9-88F7-ED59B4639627}] => (Allow) LPort=3389
  FirewallRules: [{367928DF-B206-4474-9C76-4483247FE117}] => (Allow) LPort=3389
  FirewallRules: [{1641C480-0792-4463-BB6D-10E86B021B8D}] => (Block) LPort=139
  FirewallRules: [{3ABD67F0-1916-4A13-9A58-9119D9AC25DD}] => (Block) LPort=139
  FirewallRules: [{CDAE0927-D2D3-4EB0-B9EA-674D059365D6}] => (Block) LPort=445
  FirewallRules: [{3F4E137D-8ACA-4BC4-8397-E809515202B7}] => (Block) LPort=445
  FirewallRules: [{1A0ADB7E-27B5-49A6-A348-8D5F90BAF03A}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
  FirewallRules: [{0B1304D8-68BE-4DA5-9FCA-08BC7F88C634}] => (Block) LPort=139
  FirewallRules: [{E2653F4C-1416-4744-A4CC-1DEC940DD925}] => (Block) LPort=445
  FirewallRules: [{4FC1F72D-B3AC-4C90-85BF-6E92C9498B99}] => (Block) LPort=139
  FirewallRules: [{7100764E-57AD-466E-AB59-67B070213737}] => (Block) LPort=445
  
  
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Иван71]

Fixlog.txt

[Sandor]

Проблема решена?