Перейти к содержанию

Рекомендуемые сообщения

Всем доброго времени суток! В один прекрасный день перестал работать антивирус Kaspersky Internet Security на компьютере (Windows7). Меня этот вариант не устроил и я удалил данный антивирус с помощью функций Windows 7 и попробовал установить его заново, но установщик ничего не устанавливал, просто вплывало белое окно на две секунды и все. Переход на новую Windows 10, удаление Касперского программой kavremvr и очистка лишних файлов на  жестком диске программой CC Cleaner не принесли хороших плодов, все осталось как есть. Кто сталкивался с подобной проблемой и её решил, подскажите пожалуйста, что мне нужно делать?

CollectionLog-2021.02.09-21.30.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders, L_SID: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Microsoft\Check');
 PD_folders.Add('Microsoft\Intel');
 PD_folders.Add('Microsoft\temp');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('bebca3bc90');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i, A: integer;
    s: string; 
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then s:= s + 'S';  
      if A and 2 = 2
       then s:= s + 'H';  
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure Del_DisallowRun(SID_Name: string);
const
 PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
 DR = 'DisallowRun';
var name1, name2: string;
begin
 name1:= SID_Name + PolExplKey;
 name2:= name1 + DR;
 if (RegKeyExists('HKEY_USERS', name2))
  then
   begin
    AddToLog('HKEY_USERS\' + name2 + ' - Exists');
    BackupRegKey('HKEY_USERS', name1, DR + SID_Name);
    RegKeyDel('HKEY_USERS', name2);
    RegKeyParamDel('HKEY_USERS', name1, DR);
   end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
var i: integer;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);

 L_SID:= TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun(L_SID[i]);
 L_SID.Free;

 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 BackupRegKey('HKLM', 'System\Remote Manipulator System', 'RMS');
 RegKeyDel('HKLM', 'System\Remote Manipulator System');
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=139', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=139', 0, 15000, true);
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 if GetAVZVersion < 5.18
  then
   begin
    ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.');
    AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
    exitAVZ;
   end;
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 fname:= '%windir%'+'\WrpYGF74DrEm.ini';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {1506D4C6-A097-4D20-8415-C5449CD57D70} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {A5E3320D-7AB4-4D82-9DAB-043DD8958C2D} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
Task: {A8EBFE04-9784-4CE4-9A7F-5B7A9850EBEB} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {B8955BC4-6B20-48C1-A3DF-A9465CC2606A} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {C66258E1-1736-4450-A16C-6738719B95FF} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {D9D3E9A6-8CC6-4105-B956-AB4DD1F5C13C} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {DB51FC54-06A1-4F08-8317-87BE21A93C64} - \Microsoft\Windows\Setup\EOSNotify2 -> No File <==== ATTENTION
C:\Users\Артём\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl
FirewallRules: [{31993410-9A9E-4BF5-989E-26F6C88EB385}] => (Allow) LPort=3389
FirewallRules: [{8590FBAC-2B7D-4AE9-8A03-462B0DC93CAB}] => (Block) LPort=139
FirewallRules: [{9319BCF4-371F-4C18-80C2-0F198F90CD3F}] => (Block) LPort=139
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Реваз
      Здравствуйте, не давно купил компьютер, довольно мощьный. Не давно возникла проблема, компьютер при включении начинает загружаться, всё как надо. Загружается монитор, мерцает клавиатура, всё горит. После чего монитор просто перестаёт загружаться, другими словами тухнит. А индикатор того что монитор включён начинает мигать, то есть монитор работает. После чего я зажимаю кнопку включения системника на секунд 5, он отключается после чего обратно включаю. И со второго раза он уже полноценно загружается. И так постоянно. В чём может быть проблема? И стоит ли волноваться по поводу этого? А то говорить родным что новый ПК уже даёт сбои и требуется в ремонте максимально не хочется. Единственное вчера при очередном подобном загрузке ПК, виндоус делал какую то вещь с диском и там проценты были. Не знаю, может это как то связанно. 

      ПК: I7-9700, GTX1070, 16GB RAM, 256SSD, 1TB HDD, Windows 10 Pro. 
    • От Алексей1802
      Не могу запустить файл для установки антивируса касперский: после открытия файла ничего не происходит. Пытался запустить аваст, но сразу после начала установки появляется ошибка. 
    • От PitBuLL
      Теперь на сайте https://www.kaspersky.ru/ нельзя что ли просто купить продление лицензии на 3 устройства? Надо там на сайте вводить свой ключ текущей лицензии? После этого только ссылка на покупку откроется?
      И в самой программе KIS 21 вводить новый резервный код надо куда? Весь интерфейс измененный (давно не открывал). Раньше пункт был: "ввести резервный код активации". 
      И почему ключ лицензии разный? Я покупал продление на 3 устройства в прошлом году на сайте же https://www.kaspersky.ru/  и мне пришел в письме код вида: DXXXX-XXXXX-PXXXX-XXXXX, а открываю программу KIS 21, жму на Лицензия (в правом нижнем углу), далее на "Показать детали" и вижу, что лицензионный ключ вообще другой, и начинается на А и сразу 8-мь знаков в первом блоке, далее по 4-ре знака в трёх блоках, и в последнем блоке вообще 12-ть знаков.
      И что означает в программе KIS21 - Лицензия активна, Дата продления ХХ сентября 2021 г.?
      Я вроде в прошлом году покупал продление лицензии на 3-и устройства за 1499 рублей на https://www.kaspersky.ru/ без авто продления. Помню, что галочка на авто продление уже стояла в квадратике при покупке, но я её снял.
      И как теперь понять будет выполнено авто продление или нет, спишется ли сумма с карты автоматически, и автоматически ли активируется новый код продления? Как это вообще происходит, ни когда ни чего с авто продлением не покупал. 
    • От ska79
      Долго стартует gui KIS после загрузки ОС, переустановка KIS результатов не принесла. Может что вредоносное завелось?
      CollectionLog-2021.07.03-15.02.zip
    • От Herbert West
      После удачной установки (как "говорит" установщик) программа отсутствует на компьютере. Есть ли решение?
×
×
  • Создать...