Не запускается установщик антивируса касперский

[Popkonator]

Здравствуйте, не запускается установщик, уже скачивал kaspersky rescue disk, всё проверил, удалил все найденные трояны и т.д., думал поможет, но установщик так же не запускается. Скачал FRST, провёл сканирование, но ничего не понимаю в этих логах, помогите пожалуйста.

 

 

@thyrex

Изменено 21 января, 2021 пользователем Popkonator

[Popkonator]

12 минут назад, Popkonator сказал:

Здравствуйте, не запускается установщик, уже скачивал kaspersky rescue disk, всё проверил, удалил все найденные трояны и т.д., думал поможет, но установщик так же не запускается. Скачал FRST, провёл сканирование, но ничего не понимаю в этих логах, помогите пожалуйста.

FRST.rarзабыл прикрепить

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Popkonator]

CollectionLog-2021.01.21-14.57.zipРезультаты автологгера

 

[Sandor]

Здравствуйте!

 

Если не возражаете, я отвечу

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

NetShield Kit 1.3.40.0

NetShield Kit 1.3.40.1

Кнопка "Яндекс" на панели задач

 

 

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i : integer;

begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  AddToLog(fname + ' - Exists');
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure Del_c_rdp;
var c_rdp: string;

begin
 c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp');
 if DirectoryExists(NormalDir(c_rdp)) then
	  begin
		  AddToLog(c_rdp + ' - Exists');
		  FSResetSecurity(c_rdp);
		  QuarantineFile(c_rdp + 'RDPWInst.exe', '');
		  DeleteFile(c_rdp + 'RDPWInst.exe');
		  DeleteDirectory(c_rdp);
	  end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
 if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
 begin
  AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists');
  BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
  RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
  RegKeyParamDel('HKEY_USERS', PolExplKey, DR);
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
  SetupAVZ('debug=y');
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 Del_c_rdp;
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
 L_SID := TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun('\'+ L_SID[i]);
 L_SID.Free;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 3, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

[Popkonator]

17 минут назад, Sandor сказал:

или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Немножко не понял как отправить письмо и где вписывать этот пароль

[Sandor]

В заголовке (или в теме) письма указываете ссылку на эту тему. В самом письме указываете пароль.

Ответ на почту ждать не нужно, делайте повторный CollectionLog.

[Popkonator]

1 минуту назад, Sandor сказал:

В заголовке (или в теме) письма указываете ссылку на эту тему. В самом письме указываете пароль.

Ответ на почту ждать не нужно, делайте повторный CollectionLog.

И кстати, когда я удалил нетшилд и яндекс на панели задач, касперский начал устанавливаться

[Sandor]

5 минут назад, Sandor сказал:

делайте повторный CollectionLog

Ждём.

[Popkonator]

4 часа назад, Sandor сказал:

Ждём.

Извините за ожидание, но на почту так и не смог отправить файл, неуверен как вводить

CollectionLog-2021.01.21-20.35.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteDirectory('c:\programdata\windowstask');
ExecuteSysClean;
 ExecuteRepair(21);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Popkonator]

логи frst

Addition.txt FRST.txt

Изменено 21 января, 2021 пользователем regist
не надо полностью цитировать предыдущий пост, для ответа есть поле быстрого ответа внизу.

[regist]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  Task: {0D68BF70-1CF4-4B49-805F-B934BAE992C5} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
  Task: {EB8D05CB-44D2-4B6E-A33E-7854B5600FF1} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
  FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\FFExt\light_plugin_firefox\addon.xpi => not found
  2021-01-12 17:27 - 2021-01-12 17:27 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigna6cc3411cee4e73a
  2021-01-12 17:26 - 2021-01-12 17:26 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign935658a41182c434
  2021-01-12 17:26 - 2021-01-12 17:26 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign2ad4e1ab5c7012c3
  2021-01-12 17:26 - 2021-01-12 17:26 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign1b9829531a35918a
  2021-01-09 23:32 - 2021-01-09 23:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigneffd0f6f2cbf984b
  2021-01-09 23:32 - 2021-01-09 23:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigndae6cdbedd423cc9
  2021-01-09 23:32 - 2021-01-09 23:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignbb0dc2e081288d24
  2021-01-09 17:06 - 2021-01-09 17:06 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignaf37a1beed731146
  2021-01-09 17:06 - 2021-01-09 17:06 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign5d3bac1f36a8de29
  2021-01-09 17:05 - 2021-01-09 17:05 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign615778decfc7142e
  2021-01-09 17:05 - 2021-01-09 17:05 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign5b7db7c9f62963c1
  2021-01-09 17:05 - 2021-01-09 17:05 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign34f7219655cb0a44
  2020-12-31 02:09 - 2020-12-31 02:09 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignf78bb5ed8dd21bb1
  2020-12-31 02:09 - 2020-12-31 02:09 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign0692833d440b9a53
  2020-12-31 02:08 - 2020-12-31 02:08 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignbdeff799de1b8ca7
  2020-12-31 01:56 - 2020-12-31 01:56 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignf237136615fada66
  2020-12-31 01:55 - 2020-12-31 01:55 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigna71386cc47f137ed
  2020-12-31 01:55 - 2020-12-31 01:55 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign5a6fe5ac087b8adf
  2020-12-31 01:55 - 2020-12-31 01:55 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign1a18e2aced7f29dc
  2020-12-21 11:20 - 2020-12-21 11:20 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignc0ed4c8c5a8613b3
  2020-12-21 11:20 - 2020-12-21 11:20 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign7541b3a80545b1c3
  2020-12-21 11:19 - 2020-12-21 11:19 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigne6f032bc039b65b7
  2020-12-21 11:19 - 2020-12-21 11:19 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign6e7399a61ff2f65d
  2020-12-21 11:19 - 2020-12-21 11:19 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign07cff2a831825a96
  2020-12-20 23:31 - 2020-12-20 23:31 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign4b6dbfe9e09a4f34
  2020-12-20 23:29 - 2020-12-20 23:29 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigna02a1a4548fa8702
  2020-12-20 23:29 - 2020-12-20 23:29 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign4efbdc21b165fcc2
  2020-12-20 23:29 - 2020-12-20 23:29 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign2a7a2a9383a13815
  2020-12-20 23:29 - 2020-12-20 23:29 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign23343ee9f50f5709
  2020-12-15 14:25 - 2020-12-15 14:25 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign5775c36ee4a0e6cd
  2020-12-15 13:27 - 2020-12-15 13:27 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignfeac9719f101ad4a
  2020-12-15 13:27 - 2020-12-15 13:27 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsigndfe26606c9b64585
  2020-12-15 13:27 - 2020-12-15 13:27 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign922230855fe77abb
  2020-12-15 13:27 - 2020-12-15 13:27 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign0734aaf22f134276
  2020-12-04 11:38 - 2020-12-04 11:38 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignab2f43b1457d00d4
  2020-12-04 11:37 - 2020-12-04 11:37 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign7f3eb6158d7b2c28
  2020-12-04 11:37 - 2020-12-04 11:37 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign49c1f5bde944cb1c
  2020-12-04 11:37 - 2020-12-04 11:37 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign3aa6253a6028df17
  2020-12-04 11:37 - 2020-12-04 11:37 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign1411bb7e0c9c529b
  2020-12-03 12:32 - 2020-12-03 12:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignf3ad9c9706c1469f
  2020-12-03 12:32 - 2020-12-03 12:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignc0901c87f89287ce
  2020-12-03 12:32 - 2020-12-03 12:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign8469361f6463b70e
  2020-12-03 12:32 - 2020-12-03 12:32 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign69fb1b779341ffbd
  2020-11-29 20:43 - 2020-11-29 20:43 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsignb414d9f6f25731fa
  2020-11-29 20:43 - 2020-11-29 20:43 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign98945765de7ffc47
  2020-11-29 20:43 - 2020-11-29 20:43 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign435d52ef7b04597b
  2020-11-29 20:43 - 2020-11-29 20:43 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign20c55b6c53d73b97
  2020-11-29 20:43 - 2020-11-29 20:43 - 000000000 ____D C:\Users\leong\AppData\Local\Tempzxpsign0e19d56300e97f17
  FirewallRules: [{589AF8A3-EC6F-4C7A-8840-D673A05CC980}] => (Block) LPort=445
  FirewallRules: [{F4E3DC18-43E1-44CD-A90E-7A6B79F614D5}] => (Block) LPort=139
  FirewallRules: [{813B48D6-1A7D-4F11-91DE-4B872DBAB94F}] => (Block) LPort=445
  FirewallRules: [{D7BFD7E4-5FF6-41D0-9FD4-9246A47BC11A}] => (Block) LPort=139
  
  
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.