Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

не могу установить касперский после удаления вируса

Albert_1777

Автор Albert_1777,
в Компьютерная помощь

 Share Подписчики 2

Рекомендуемые сообщения

andrew75

andrew75 1 465

Опубликовано
Опубликовано

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 46
  • Created
  • Последний ответ

Top Posters In This Topic

  • Albert_1777

    14

  • Ummitium

    8

  • andrew75

    7

  • Воронцов

    5

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor

Не хочу, как говорил один мой знакомый "стучать себя коленкой в грудь", но дело не в этом. AVZ в составе Автологера итак полиморфная версия. И лечим мы в том разделе, основываясь на предоставленн

SQ

Здравствуйте, Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках C:\ C:\Windows\ C:\Windows\System32 (он похоже и ограничил часть функционала на вашем серв

regist

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.   @SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту зада

Posted Images

Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
3 часа назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ, поскольку на мой взгляд он лучше нас всех в этом понимает.

позвал его вот интересно только когда зайдет

Ссылка на сообщение
Поделиться на другие сайты
Воронцов

Воронцов 292

Опубликовано
Опубликовано (изменено)

@Albert_1777 Вы кстати так и не ответили нет ли резервной копии? Из бекапа восстановить дело 5 минут.

Изменено пользователем Воронцов
Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Ummitium 266

Опубликовано
Опубликовано
9 часов назад, andrew75 сказал:

Я согласен с @Sandor

Дело не в недолеченности а в нарушении прав.

 

Надо звать в тему @SQ

Каких прав??? Вы про права администратора или что? Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Ссылка на сообщение
Поделиться на другие сайты
andrew75

andrew75 1 465

Опубликовано
Опубликовано
1 минуту назад, Ummitium сказал:

Там идёт явная блокировка по названию папок и файлов от антивирусных программ. 

Например?

Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Ummitium 266

Опубликовано
Опубликовано (изменено)

 

9 минут назад, andrew75 сказал:

Например?

"На данном сервере стоит несколько виртуалок. И вот проблема в том что папка с виртуалкой называлась Kaspersky и она скрылась"

 

"Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов"

Изменено пользователем Ummitium
Ссылка на сообщение
Поделиться на другие сайты
andrew75

andrew75 1 465

Опубликовано
Опубликовано

@Ummitium, вторая цитата взята из первого сообщения темы, которое в свою очередь просто копия из первого сообщения из раздела лечения. То есть это было до лечения.

 

Про "папку с виртуалкой" я не очень понял если честно.

 

Смотреть надо на это сообщение - https://forum.kasperskyclub.ru/topic/80014-ne-mogu-ustanovit-kasperskij-posle-udalenija-virusa/?do=findComment&comment=1123712

 

И там явно системные ошибки.

 

Ссылка на сообщение
Поделиться на другие сайты
Friend

Friend 1 293

Опубликовано
Опубликовано

@Albert_1777 уточни, вы в итоге воспользовались советом @andrew75 и создали нового администратора сервера, там проблема сохраняется при попытке установить антивирус?

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 

C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 

"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

  • Нет слов 1
Ссылка на сообщение
Поделиться на другие сайты
Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
6 часов назад, SQ сказал:

Здравствуйте,

Могли бы пожалуйста найти на вуашем сервере файл permissions.ini в следующих папках 


C:\
C:\Windows\
C:\Windows\System32

(он похоже и ограничил часть функционала на вашем сервере.)  со следующим содержимым и заархивировать в  zip и приложить его в следующем сообщение. 


"cmd" /c echo off & for %A in (IFEO SRP) do (if %A==IFEO (for %B in (HKLM\SOFTWARE HKLM\SOFTWARE\Wow6432Node) do (for %C in ("[1 17]" "[8]") do (for %D in ("%B\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" "%B\Policies\Microsoft\Windows\Safer" "%B\Policies\Microsoft\Windows\SrpV2") do (echo %D %C> "permissions.ini" & regini "permissions.ini" & del "permissions.ini" & reg delete %D /f)))) else ((for %E in ("[1 17]" "[8]") do (echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer" %E> "permissions.ini" & echo "HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" %E>> "permissions.ini" & echo DefaultLevel = REG_DWORD 0x00040000>> "permissions.ini" & regini "permissions.ini" & del "permissions.ini")) & taskkill /t /f /im "wizard.exe" & ping -n 10 localhost & schtasks /run /tn "Microsoft\Windows\Location\GoogleUpdateTask"))

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере? 


C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask


Спасибо.
 

смотрите в этих папках которые вы обозначили такого файла я не нашел, даже через поиск мне не выдало этого файла он может быть скрытым ? а задачи такой  

C:\Windows\System32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask у меня её нету по этому пути
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано
19 часов назад, SQ сказал:

Похоже он на уровне политики GPO заблочил часть операции путем использования  функционала applocker в реестре.

С точностью до наоборот. Он довольно грубо, но сносил все запреты IFEO, SRP и AppLocker.

 

19 часов назад, SQ сказал:

Также могли бы посмотреть если следующая задача  (возможно вредоносная) еще присутствует на вашем сервере?

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

15.02.2021 в 20:16, Friend сказал:

уточни, вы в итоге воспользовались советом

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано
3 hours ago, regist said:

@SQ, скрипт как понимаю из темы лечения ты вытащил. Тогда должен был бы там увидеть, что эту задача давным давно удалена.

Тогда заодно и по этому вопросу уточню. Вы пробовали ещё раз (сейчас) создать, а не месяц или сколько там назад.

да, оттуда, для чтобы понять на каком уровне блок идет.

ЛК мне удали идею, могли бы показать скриншоты политики касаемо программного обеспечения, для этого запустите оснастку gpedit.msc и покажите следующий скрин:

gpedit1.thumb.gif.5c7f42ea16e3a0fcaa2ef8c47bf8dca7.gif

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit): 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано
6 часов назад, SQ сказал:

Чтобы оценить текущее состояние могли бы пожалуйста экспортировать следующих ключи из реестра (Regedit):

Это как раз список тех ключей реестра, которые данный скрипт и чистил ))). Для этого не надо было ЛК дёргать.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано
42 минуты назад, Albert_1777 сказал:

эммм так что мне сделать ?

Сделайте на всякий случай, тем более за это время у вас что-то могло там и поменяться. Просто я считаю неправильным когда вытаскивают логи 2-х месячной давности по ним находят давным давно удалённые записи и просят вас их найти, хотя результат и так заранее известен и т.д. Аналогично и по этим ключам. Как минимум часть из них у вас со 100% вероятности бы засветились в логе если бы там что-то было.

Кстати, заодно тогда скачайте и сделайте и лог этой утилиты. Там как раз недавно добавили новые проверки политик.

 

А по экспорту, чтобы вам хоть меньше лишних движений делать сделайте так:

 

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода: 
    HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\SrpV2
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • Отметьте опцию Export keys.
  • нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Ссылка на сообщение
Поделиться на другие сайты
  • kmscom закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • parnishka
      UDS.Trojan Multigeneric и UDS Trojan Shelm, помогите!
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • futaba-tian
      HEUR:Trojan.Multi.GenBadur.gena
      От futaba-tian
      Добрый вечер!

      Примерно час назад я по невнимательности кликнула на ссылку в сообщение от друга в Стим. К сожалению, друг оказался взломанным, и ссылка вела на опасный сайт. Kaspersky Total Security заблокировал переход, но после быстрой проверки оказалось, что вирус всё-таки попал в систему. Я сразу его удалила (с помощью антивируса), перезагрузила компьютер, провела еще одну проверку (полную) и удалила старые контрольные точки восстановления ОС.

      Сейчас антивирус показывает, что все нормально, но я хотела бы быть уверена, что ничего вредного или его хвостов не осталось. Вы могли бы мне помочь?
       
      Прилагаю необходимые логи к данному запросу.
       
      CollectionLog-2024.06.19-20.15.zip
    • Galem333
      [РЕШЕНО] Вирус поразил системные файлы!
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • Barrrin
      Ошибка Trojan:Win64/Reflo.HNS!MTB и выдача ошибок оперативной памяти
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
×
×
  • Создать...