Перейти к содержанию

не могу установить касперский после удаления вируса

Albert_1777

От Albert_1777
в Компьютерная помощь

 Share

Рекомендуемые сообщения

andrew75 Корифей

andrew75

Опубликовано
Опубликовано

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 46
  • Created
  • Последний ответ

Top Posters In This Topic

  • Albert_1777

    14

  • Ummitium

    8

  • andrew75

    7

  • Воронцов

    5

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor
Sandor

Не хочу, как говорил один мой знакомый "стучать себя коленкой в грудь", но дело не в этом. AVZ в составе Автологера итак полиморфная версия. И лечим мы в том разделе, основываясь на предоставленн

SQ
SQ

Здравствуйте, Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках C:\ C:\Windows\ C:\Windows\System32 (он похоже и ограничил часть функционала на вашем серв

regist
regist

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.   @SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту зада

Posted Images

Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
3 часа назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

позвал его вот интересно только когда зайдет

Ссылка на комментарий
Поделиться на другие сайты
Воронцов Гигант мысли

Воронцов

Опубликовано
Опубликовано (изменено)

@Albert_1777 Вы кстати так и не ответили нет ли резервной копии? Из бекапа восстановить дело 5 минут.

Изменено пользователем Воронцов
Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано
9 часов назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ

Каких прав??? Вы про права администратора или что? Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Ссылка на комментарий
Поделиться на другие сайты
Ummitium Гигант мысли

Ummitium

Опубликовано
Опубликовано (изменено)

 

9 минут назад, andrew75 сказал:

Например?

"На данном сервере стоит несколько виртуалок. И вот проблема в том что папка с виртуалкой называлась Kaspersky и она скрылась"

 

"Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов"

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано

@Ummitium, вторая цитата взята из первого сообщения темы, которое в свою очередь просто копия из первого сообщения из раздела лечения. То есть это было до лечения.

 

Про "папку с виртуалкой" я не очень понял если честно.

 

Смотреть надо на это сообщение - https://forum.kasperskyclub.ru/topic/80014-ne-mogu-ustanovit-kasperskij-posle-udalenija-virusa/?do=findComment&comment=1123712

 

И там явно системные ошибки.

 

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@Albert_1777 уточни, вы в итоге воспользовались советом @andrew75 и создали нового администратора сервера, там проблема сохраняется при попытке установить антивирус?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 

C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 

"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты
Albert_1777 Постоялец

Albert_1777

Опубликовано
  • Автор
Опубликовано
6 часов назад, SQ сказал:

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 


C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 


"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 


C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

смотрите в этих папках которые вы обозначили такого файла я не нашел, даже через поиск мне не выдало этого файла он может быть скрытым ? а задачи такой  

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask у меня её нету по этому пути
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
19 часов назад, SQ сказал:

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.

 

19 часов назад, SQ сказал:

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере?

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

15.02.2021 в 20:16, Friend сказал:

уточни, вы в итоге воспользовались советом

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
3 hours ago, regist said:

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

да, оттуда, для чтобы понять на каком уровне блок идет.

ЛК мне удали идею, могли бы показать скриншоты политики касаемо программного обеспечения, для этого запустите оснастку gpedit.msc и покажите следующий скрин:

gpedit1.thumb.gif.5c7f42ea16e3a0fcaa2ef8c47bf8dca7.gif

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
6 часов назад, SQ сказал:

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit):

Это как раз список тех ключей реестра, которые данный скрипт и чистил ))). Для этого не надо было ЛК дёргать.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
42 минуты назад, Albert_1777 сказал:

эммм так что мне сделать ?

Сделайте на всякий случай, тем более за это время у вас что-то могло там и поменяться. Просто я считаю неправильным когда вытаскивают логи 2-х месячной давности по ним находят давным давно удалённые записи и просят вас их найти, хотя результат и так заранее известен и т.д. Аналогично и по этим ключам. Как минимум часть из них у вас со 100% вероятности бы засветились в логе если бы там что-то было.

Кстати, заодно тогда скачайте и сделайте и лог этой утилиты. Там как раз недавно добавили новые проверки политик.

 

А по экспорту, чтобы вам хоть меньше лишних движений делать сделайте так:

 

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода: 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • monwron
      [РЕШЕНО] Не могу установить никакой антивирус
      От monwron
      В процессе установки антивируса просит перезагрузить пк, перезагружаю, продолжаю установку антивируса и далее его нет НИГДЕ в системе. Ремоут тулом пк проверял, чето там нашел и удалил, но проблему не решило
      Помогите пожалуйста!
       
      CollectionLog-2024.11.15-02.50.zip
      FRST.txt Addition.txt
    • LeoWels
      Не могу удалить вирус Heur:Trojan.Multi.GenBadur.genw
      От LeoWels
      Этот вирус давно уже в системе не могу никак избавиться от него Касперский находит его но не может удалить после выполнения лечения система уходит в перезагрузку 
      CollectionLog-2024.12.28-16.07.zip
    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Belzak
      [РЕШЕНО] Не могу вылечить вирус
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ska79
      какой линукс установить на слабое железо?
      От ska79
      Какой линукс установить на слабое устаревшее железо 2006 года выпуска? 
×
×
  • Создать...