Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

не могу установить касперский после удаления вируса

Albert_1777

Автор Albert_1777
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

andrew75 Мудрец

andrew75

Опубликовано
Опубликовано

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 46
  • Создана
  • Последний ответ

Топ авторов темы

  • Albert_1777

    14

  • Ummitium

    8

  • andrew75

    7

  • Воронцов

    5

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Не хочу, как говорил один мой знакомый "стучать себя коленкой в грудь", но дело не в этом. AVZ в составе Автологера итак полиморфная версия. И лечим мы в том разделе, основываясь на предоставленн

SQ
SQ

Здравствуйте, Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках C:\ C:\Windows\ C:\Windows\System32 (он похоже и ограничил часть функционала на вашем серв

regist
regist

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.   @SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту зада

Изображения в теме

Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
3 часа назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

позвал его вот интересно только когда зайдет

Ссылка на комментарий
Поделиться на другие сайты
Воронцов Гигант мысли

Воронцов

Опубликовано
Опубликовано (изменено)

@Albert_1777 Вы кстати так и не ответили нет ли резервной копии? Из бекапа восстановить дело 5 минут.

Изменено пользователем Воронцов
Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано
9 часов назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ

Каких прав??? Вы про права администратора или что? Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано (изменено)

 

9 минут назад, andrew75 сказал:

Например?

"На данном сервере стоит несколько виртуалок. И вот проблема в том что папка с виртуалкой называлась Kaspersky и она скрылась"

 

"Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов"

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Мудрец

andrew75

Опубликовано
Опубликовано

@Ummitium, вторая цитата взята из первого сообщения темы, которое в свою очередь просто копия из первого сообщения из раздела лечения. То есть это было до лечения.

 

Про "папку с виртуалкой" я не очень понял если честно.

 

Смотреть надо на это сообщение - https://forum.kasperskyclub.ru/topic/80014-ne-mogu-ustanovit-kasperskij-posle-udalenija-virusa/?do=findComment&comment=1123712

 

И там явно системные ошибки.

 

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@Albert_1777 уточни, вы в итоге воспользовались советом @andrew75 и создали нового администратора сервера, там проблема сохраняется при попытке установить антивирус?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 

C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 

"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты
Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
6 часов назад, SQ сказал:

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 


C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 


"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 


C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

смотрите в этих папках которые вы обозначили такого файла я не нашел, даже через поиск мне не выдало этого файла он может быть скрытым ? а задачи такой  

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask у меня её нету по этому пути
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
19 часов назад, SQ сказал:

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.

 

19 часов назад, SQ сказал:

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере?

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

15.02.2021 в 20:16, Friend сказал:

уточни, вы в итоге воспользовались советом

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
3 hours ago, regist said:

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

да, оттуда, для чтобы понять на каком уровне блок идет.

ЛК мне удали идею, могли бы показать скриншоты политики касаемо программного обеспечения, для этого запустите оснастку gpedit.msc и покажите следующий скрин:

gpedit1.thumb.gif.5c7f42ea16e3a0fcaa2ef8c47bf8dca7.gif

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
6 часов назад, SQ сказал:

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit):

Это как раз список тех ключей реестра, которые данный скрипт и чистил ))). Для этого не надо было ЛК дёргать.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
42 минуты назад, Albert_1777 сказал:

эммм так что мне сделать ?

Сделайте на всякий случай, тем более за это время у вас что-то могло там и поменяться. Просто я считаю неправильным когда вытаскивают логи 2-х месячной давности по ним находят давным давно удалённые записи и просят вас их найти, хотя результат и так заранее известен и т.д. Аналогично и по этим ключам. Как минимум часть из них у вас со 100% вероятности бы засветились в логе если бы там что-то было.

Кстати, заодно тогда скачайте и сделайте и лог этой утилиты. Там как раз недавно добавили новые проверки политик.

 

А по экспорту, чтобы вам хоть меньше лишних движений делать сделайте так:

 

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода: 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Андрей2029
      Касперский+Опера - не могу зайти ни на один сайт с Cloudflare
      Автор Андрей2029
      Здравствуйте, товарищи. Проблема следующая. Поставил впервые за много десятков лет Оперу вместо Хрома. Последнюю версию, разумеется. Особо не ковырялся в настройках, стал пользоваться. И заметил, что не могу попасть ни на один сайт с Cloudflare - проверка на человека просто постоянно обновляется, не пуская на страницу. Например, вот Aescripts:

       
      Разумеется, я испробовал все возможные решения, что были в сети, будучи уверенным, что проблема либо в самой Опере (её настройках, которые я не менял), либо в VPN (которого у меня нет и в Опере он не включен), DNS и прочем. Все проверил, посмотрел, попереключал и ничего не помогает. При этом Edge на те же сайты пускает без вопросов. Пошёл было писать багрепорт в техподдержку Оперы, пока не додумался отключить Kaspersky Plus. И, о чудо, Cloudflare сразу же запустил на проблемный сайт. Включил Касперского, тыкнулся на другой сайт - опять тя же проблема. 
       
      Подскажите, куда смотреть, что копать, и почему проблема именно с Оперой? Хром псотавил назад - опять проблемы нет. Чем Опера так провинилась? Какие настройки посмотреть в Каспере, чтобы решить проблему?
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Chel_Yaa
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
×
×
  • Создать...