Перейти к содержанию

Рекомендуемые сообщения

Всем доброго времени суток! В один прекрасный день перестал работать антивирус Kaspersky Internet Security на компьютере (Windows7). Меня этот вариант не устроил и я удалил данный антивирус с помощью функций Windows 7 и попробовал установить его заново, но установщик ничего не устанавливал, просто вплывало белое окно на две секунды и все. Переход на новую Windows 10, удаление Касперского программой kavremvr и очистка лишних файлов на  жестком диске программой CC Cleaner не принесли хороших плодов, все осталось как есть. Кто сталкивался с подобной проблемой и её решил, подскажите пожалуйста, что мне нужно делать?

CollectionLog-2021.02.09-21.30.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders, L_SID: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Microsoft\Check');
 PD_folders.Add('Microsoft\Intel');
 PD_folders.Add('Microsoft\temp');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('bebca3bc90');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i, A: integer;
    s: string; 
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then s:= s + 'S';  
      if A and 2 = 2
       then s:= s + 'H';  
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure Del_DisallowRun(SID_Name: string);
const
 PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
 DR = 'DisallowRun';
var name1, name2: string;
begin
 name1:= SID_Name + PolExplKey;
 name2:= name1 + DR;
 if (RegKeyExists('HKEY_USERS', name2))
  then
   begin
    AddToLog('HKEY_USERS\' + name2 + ' - Exists');
    BackupRegKey('HKEY_USERS', name1, DR + SID_Name);
    RegKeyDel('HKEY_USERS', name2);
    RegKeyParamDel('HKEY_USERS', name1, DR);
   end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
var i: integer;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);

 L_SID:= TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun(L_SID[i]);
 L_SID.Free;

 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 BackupRegKey('HKLM', 'System\Remote Manipulator System', 'RMS');
 RegKeyDel('HKLM', 'System\Remote Manipulator System');
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=139', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=139', 0, 15000, true);
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 if GetAVZVersion < 5.18
  then
   begin
    ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.');
    AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
    exitAVZ;
   end;
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 fname:= '%windir%'+'\WrpYGF74DrEm.ini';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {1506D4C6-A097-4D20-8415-C5449CD57D70} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {A5E3320D-7AB4-4D82-9DAB-043DD8958C2D} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
Task: {A8EBFE04-9784-4CE4-9A7F-5B7A9850EBEB} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {B8955BC4-6B20-48C1-A3DF-A9465CC2606A} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {C66258E1-1736-4450-A16C-6738719B95FF} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {D9D3E9A6-8CC6-4105-B956-AB4DD1F5C13C} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {DB51FC54-06A1-4F08-8317-87BE21A93C64} - \Microsoft\Windows\Setup\EOSNotify2 -> No File <==== ATTENTION
C:\Users\Артём\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl
FirewallRules: [{31993410-9A9E-4BF5-989E-26F6C88EB385}] => (Allow) LPort=3389
FirewallRules: [{8590FBAC-2B7D-4AE9-8A03-462B0DC93CAB}] => (Block) LPort=139
FirewallRules: [{9319BCF4-371F-4C18-80C2-0F198F90CD3F}] => (Block) LPort=139
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От ValeraZSD
      При включении игры Crossout, компьютер перезагружается
      В других играх всё норм, например в Cyberpunk 2077 с RTX в Ultra настройках и 2k разрешении всё было супер,
      А в Crossout на загрузочном экране может тупо перезагрузится.

      Сопровождается ошибками событий:  41  1101  27  7000  18  8198  10016  360

      Основное:
      AMD Ryzen 5900 X
      Nvidia RTX 3070
    • От Sapfira
      Давно уже заметила, что когда переустанавливаешь KIS (с сохранением настроек) или просто обновляешь версию поверх предыдущей, то Безопасные платежи обнуляются и сайты, добавленные туда ранее, исчезают, приходится всё заново добавлять.
      У всех так? Есть ли какой-то способ, чтобы список сайтов сохранялся? Экспорт настроек в данном случае не помогает.
    • От Erema42
      Добрый день, прошу помощи. Был установлен KIS, он перестал запускаться. Решил его переустановить. Новый установщик не запускается. С ПК не могу зайти на сайт касперского в раздел поддержки. Не могу зайти на сайты большинства антивирусов. Запустился только DR. WEB, им им удалось просканировать и убрать трояны, но по прежнему не могу установить KIS и KVRT не запускается. Помогите пожалуйста.
    • От SkylineLuxx
      Здравствуйте.
      Захотел сегодня установить KIS/KTS, но при запуске установочного файла совсем ничего не происходит, мне кажется у меня на компе вирусы. Видел на форуме похожую тему, и решил создать свою, логи прикладываю.
       
      Прочая информация:
      У меня какое то время отсутствовал антивирус, только Win.Защитник. Но вчера Steam начал выдавать что то странное, когда я его запустил, вход в мою учетку не был осуществлен, пароль пришлось восстанавливать. Проверил Dr.Web CureIt-ом, он нашел какой то Troian, вроде вылечил. Сегодня запускаю Steam, опять из учетки выкинуло, а игра вообще удалилась, пришлось устанавливать. Странные вещи творятся, может совпадение. Проверил еще раз Dr.Web CureIt-ом, ничего не нашел, ну и тут решил поставить KIS/KTS, а установщик не запускается.
      CollectionLog-2021.02.13-14.33.zip
    • От Artem5000
      Всем доброго времени суток! В один прекрасный день перестал работать антивирус Kaspersky Internet Security на компьютере (Windows7). Меня этот вариант не устроил и я удалил данный антивирус с помощью функций Windows 7 и попробовал установить его заново, но установщик ничего не устанавливал, просто вплывало белое окно на две секунды и все. Переход на новую Windows 10, удаление Касперского программой kavremvr и очистка лишних файлов на  жестком диске программой CC Cleaner не принесли хороших плодов, все осталось как есть. Кто сталкивался с подобной проблемой и её решил, подскажите пожалуйста, что мне нужно делать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...