Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

не могу установить касперский после удаления вируса

Albert_1777

Автор Albert_1777
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

andrew75

andrew75

Опубликовано
Опубликовано

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

  • Ответов 46
  • Создана
  • Последний ответ

Топ авторов темы

  • Albert_1777

    14

  • Ummitium

    8

  • andrew75

    7

  • Воронцов

    5

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Не хочу, как говорил один мой знакомый "стучать себя коленкой в грудь", но дело не в этом. AVZ в составе Автологера итак полиморфная версия. И лечим мы в том разделе, основываясь на предоставленн

SQ
SQ

Здравствуйте, Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках C:\ C:\Windows\ C:\Windows\System32 (он похоже и ограничил часть функционала на вашем серв

regist
regist

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.   @SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту зада

Изображения в теме

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
3 часа назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

позвал его вот интересно только когда зайдет

Воронцов

Воронцов

Опубликовано
Опубликовано (изменено)

@Albert_1777 Вы кстати так и не ответили нет ли резервной копии? Из бекапа восстановить дело 5 минут.

Изменено пользователем Воронцов
Ummitium

Ummitium

Опубликовано
Опубликовано
9 часов назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ

Каких прав??? Вы про права администратора или что? Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

andrew75

andrew75

Опубликовано
Опубликовано
1 минуту назад, Ummitium сказал:

Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Например?

Ummitium

Ummitium

Опубликовано
Опубликовано (изменено)

 

9 минут назад, andrew75 сказал:

Например?

"На данном сервере стоит несколько виртуалок. И вот проблема в том что папка с виртуалкой называлась Kaspersky и она скрылась"

 

"Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов"

Изменено пользователем Ummitium
andrew75

andrew75

Опубликовано
Опубликовано

@Ummitium, вторая цитата взята из первого сообщения темы, которое в свою очередь просто копия из первого сообщения из раздела лечения. То есть это было до лечения.

 

Про "папку с виртуалкой" я не очень понял если честно.

 

Смотреть надо на это сообщение - https://forum.kasperskyclub.ru/topic/80014-ne-mogu-ustanovit-kasperskij-posle-udalenija-virusa/?do=findComment&comment=1123712

 

И там явно системные ошибки.

 

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 

C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 

"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

  • Нет слов 1
Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
6 часов назад, SQ сказал:

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 


C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 


"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 


C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

смотрите в этих папках которые вы обозначили такого файла я не нашел, даже через поиск мне не выдало этого файла он может быть скрытым ? а задачи такой  

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask у меня её нету по этому пути
regist

regist

Опубликовано
Опубликовано
19 часов назад, SQ сказал:

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.

 

19 часов назад, SQ сказал:

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере?

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

15.02.2021 в 20:16, Friend сказал:

уточни, вы в итоге воспользовались советом

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

  • Like (+1) 1
SQ

SQ

Опубликовано
Опубликовано
3 hours ago, regist said:

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

да, оттуда, для чтобы понять на каком уровне блок идет.

ЛК мне удали идею, могли бы показать скриншоты политики касаемо программного обеспечения, для этого запустите оснастку gpedit.msc и покажите следующий скрин:

gpedit1.thumb.gif.5c7f42ea16e3a0fcaa2ef8c47bf8dca7.gif

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

regist

regist

Опубликовано
Опубликовано
6 часов назад, SQ сказал:

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit):

Это как раз список тех ключей реестра, которые данный скрипт и чистил ))). Для этого не надо было ЛК дёргать.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано

эммм так что мне сделать ? или ждать от вас инструкций?

regist

regist

Опубликовано
Опубликовано
42 минуты назад, Albert_1777 сказал:

эммм так что мне сделать ?

Сделайте на всякий случай, тем более за это время у вас что-то могло там и поменяться. Просто я считаю неправильным когда вытаскивают логи 2-х месячной давности по ним находят давным давно удалённые записи и просят вас их найти, хотя результат и так заранее известен и т.д. Аналогично и по этим ключам. Как минимум часть из них у вас со 100% вероятности бы засветились в логе если бы там что-то было.

Кстати, заодно тогда скачайте и сделайте и лог этой утилиты. Там как раз недавно добавили новые проверки политик.

 

А по экспорту, чтобы вам хоть меньше лишних движений делать сделайте так:

 

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода: 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FlangeIR
      [РЕШЕНО] Прощу помощи в удалении следов заражения
      Автор FlangeIR
      Компьютер был заражен майнером, малварью и троянами. Была произведена очистка через KVRT. После этого пытался инсталлировать MBAM, но он не запускается после установки.
      Addition.txt FRST.txt avz_log.txt
    • AlexTi22
      Trojan.Siggen31.46344 в Temp, app.dll
      Автор AlexTi22
      При проверке Dr. Web CureIt! было замечено 2 угрозы Trojan.Siggen31.46344 в одной из папок Temp в файле app.dll. Удаление при помощи CureIt не помогла, при перезагрузке проблема возвращается. Папки с этими файлами невозможно удалить вручную. 

    • LaVVINa
      [РЕШЕНО] Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • r4pdj
      [РЕШЕНО] Обнаружено вредоносное приложение HEUR:Trojan.Win64.Miner.gen
      Автор r4pdj
      Здравствуйте.
      Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

×
×
  • Создать...