Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

не могу установить касперский после удаления вируса

Albert_1777

Автор Albert_1777
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

andrew75 Корифей

andrew75

Опубликовано
Опубликовано

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 46
  • Создана
  • Последний ответ

Топ авторов темы

  • Albert_1777

    14

  • Ummitium

    8

  • andrew75

    7

  • Воронцов

    5

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Не хочу, как говорил один мой знакомый "стучать себя коленкой в грудь", но дело не в этом. AVZ в составе Автологера итак полиморфная версия. И лечим мы в том разделе, основываясь на предоставленн

SQ
SQ

Здравствуйте, Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках C:\ C:\Windows\ C:\Windows\System32 (он похоже и ограничил часть функционала на вашем серв

regist
regist

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.   @SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту зада

Изображения в теме

Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
3 часа назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

позвал его вот интересно только когда зайдет

Ссылка на комментарий
Поделиться на другие сайты
Воронцов Гигант мысли

Воронцов

Опубликовано
Опубликовано (изменено)

@Albert_1777 Вы кстати так и не ответили нет ли резервной копии? Из бекапа восстановить дело 5 минут.

Изменено пользователем Воронцов
Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано
9 часов назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ

Каких прав??? Вы про права администратора или что? Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано (изменено)

 

9 минут назад, andrew75 сказал:

Например?

"На данном сервере стоит несколько виртуалок. И вот проблема в том что папка с виртуалкой называлась Kaspersky и она скрылась"

 

"Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов"

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано

@Ummitium, вторая цитата взята из первого сообщения темы, которое в свою очередь просто копия из первого сообщения из раздела лечения. То есть это было до лечения.

 

Про "папку с виртуалкой" я не очень понял если честно.

 

Смотреть надо на это сообщение - https://forum.kasperskyclub.ru/topic/80014-ne-mogu-ustanovit-kasperskij-posle-udalenija-virusa/?do=findComment&comment=1123712

 

И там явно системные ошибки.

 

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@Albert_1777 уточни, вы в итоге воспользовались советом @andrew75 и создали нового администратора сервера, там проблема сохраняется при попытке установить антивирус?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 

C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 

"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты
Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
6 часов назад, SQ сказал:

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 


C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 


"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 


C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

смотрите в этих папках которые вы обозначили такого файла я не нашел, даже через поиск мне не выдало этого файла он может быть скрытым ? а задачи такой  

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask у меня её нету по этому пути
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
19 часов назад, SQ сказал:

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.

 

19 часов назад, SQ сказал:

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере?

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

15.02.2021 в 20:16, Friend сказал:

уточни, вы в итоге воспользовались советом

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
3 hours ago, regist said:

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

да, оттуда, для чтобы понять на каком уровне блок идет.

ЛК мне удали идею, могли бы показать скриншоты политики касаемо программного обеспечения, для этого запустите оснастку gpedit.msc и покажите следующий скрин:

gpedit1.thumb.gif.5c7f42ea16e3a0fcaa2ef8c47bf8dca7.gif

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
6 часов назад, SQ сказал:

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit):

Это как раз список тех ключей реестра, которые данный скрипт и чистил ))). Для этого не надо было ЛК дёргать.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
42 минуты назад, Albert_1777 сказал:

эммм так что мне сделать ?

Сделайте на всякий случай, тем более за это время у вас что-то могло там и поменяться. Просто я считаю неправильным когда вытаскивают логи 2-х месячной давности по ним находят давным давно удалённые записи и просят вас их найти, хотя результат и так заранее известен и т.д. Аналогично и по этим ключам. Как минимум часть из них у вас со 100% вероятности бы засветились в логе если бы там что-то было.

Кстати, заодно тогда скачайте и сделайте и лог этой утилиты. Там как раз недавно добавили новые проверки политик.

 

А по экспорту, чтобы вам хоть меньше лишних движений делать сделайте так:

 

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода: 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • flynk
      вирус "updater.exe" восстанавливается при удалении
      Автор flynk
      вчера обнаружил вирус на своем компьютере и при удалении он сразу же восстанавливается. сидит в C:\ProgramData\Google\Chrome (на момент написания файл в папке отсутствует, но папка Google при удалении восстанавливается). п ерепробовал кучу способов, удалить не получается. пробовал откатываться на точки восстановления, но все равно не помогало. ранее при запуске компьютера панель задач прогружалась минут 5, все крайне лагало. на данный момент проблемы вроде как пропали, но при первом запуске просто черный экран. сканировался через Malwarebytes, DrWeb Cureit, Hitman PRO. 
      CollectionLog-2024.02.06-21.02.zip
    • Zed
      не могу удалить вирусы
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
    • JeySerYT
      Не запускается касперский, не могу удалить вирусы на компе, что делать?
      Автор JeySerYT
      В последнее время я начал наблюдать замедленную работу компьютера, решил проверить на вирусы и установил Kaspersky premium но вышла такая проблема: когда запускаю ничего абсолютно не происходит, может вы поможете с этим?
    • Copcheny
      не могу удалить вирус taskhost
      Автор Copcheny
      Здравствуйте, скачивал kmsauto и скорее всего от туда поймал вирус taskhost. Смог заметить его в Мониторе ресурсов. Пробовал через разные антивирусы и гайды в интернете ничего не помогает или я сам что то не то делаю. Пожалуйста помогите с решением проблемы
    • Павел Кудрявцев
      Помощь в удалении вирусов и установки приложения KAV
      Автор Павел Кудрявцев
      Доброго времени суток!
      Пытаюсь установить антивирус себе на компьютер, чувствую, что компьютер всё равно выдает маломальски какие-то ошибки, точно что-то словил.
      Поставил себе dr.web просканировал всё, но всё равно стабильной работы не наблюдается, решил установить себе нормальный антивирус.
      При загрузке не произошло ничего особенного, но вот уже при установке начались определенного рода танцы, при установке программа просит перезагрузить компьютер, а после примерно на 60% установочник просто вылетает и ничего дальше не происходит, скачивал программу для удаления всех следов антивируса на компьютере, но и она ничего не находит, пытался вручную удалить и всё равно тишина.
      после многочисленных способов всё равно программа не хочет ставится на устройство 
      А хочется всё таки установить, чтобы успешно просканировать весь компьютер и быть на полноценной защите
      Что делать при данной ситуации? Пожалуйста подскажите...
×
×
  • Создать...