Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Не устанавливается Касп 1303 блокировка прав на папки C:\ProgramData\

MDmitryS

Автор MDmitryS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MDmitryS

MDmitryS

Опубликовано
Опубликовано

Здравствуйте. 

Где-то засел вредитель, скорее всего майнер.

Не дает установить антивири, в тч Касперский, Есет, ДрВеб...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT запускается, НО, касперского не удается установить (выдает ошибку 1303) выдает, что не хватает прав на папку ProgramData, хотя права администратора есть. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2021.02.20-14.01.zip

regist

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\fonts\conhost.exe');
 TerminateProcessByName('c:\windows\fonts\d1lhots.exe');
 TerminateProcessByName('c:\windows\fonts\svchost.exe');
 StopService('MicrosotMaims');
 StopService('MicrosotMais');
 QuarantineFile('c:\windows\fonts\conhost.exe', '');
 QuarantineFile('c:\windows\fonts\d1lhots.exe', '');
 QuarantineFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '');
 QuarantineFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\fonts\conhost.exe', '');
 DeleteFile('c:\windows\fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '64');
 DeleteFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 DeleteService('MicrosotMaims');
 DeleteService('MicrosotMais');
 DeleteSchedulerTask('At2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

3 часа назад, MDmitryS сказал:

Мб чем то поможете куда копать? Чего то мысли уже кончились...

А что много уже копали в системе? Просто по вашему описанию похоже на популярный нынче мйнер, для которого даже спец. утилита есть. А по вашим логам его не видно. Не понятно, толи вы тщательно его замаскировали пытаясь самостоятельно починить, либо там всё-таки его и не было.

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\d1lhots.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger.

MDmitryS

MDmitryS

Опубликовано
  • Автор
Опубликовано

Утром проходил KVRT несколько раз. (на картинках). После проверки отключился от Internet и перезагрузил машину. После неоднократных попыток Установить Касперского обратился к Вам.

Сейчас попытался опять установить Касперского, на что был получен код ошибки 1303. Создал Папку в указанном каталоге руками: C:\ProgramData\Kaspersky Lab код ошибки стал 1317

2102200737.png

2102200851.png

2102200851_1.png

 

Файлы отослал.

 

CollectionLog-2021.02.20-19.21.zip report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

regist

regist

Опубликовано
Опубликовано

Если сами, то не надо.

 

А политики, в частности это

Цитата

HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

 

Тоже сами настраивали?

regist

regist

Опубликовано
Опубликовано (изменено)

Восстановление системы советую включить.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ВНИМАНИЕ
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => Нет файла
FirewallRules: [{7601250D-9833-43F0-8CA7-F67641D3C5D2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
EmptyTemp:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
regist

regist

Опубликовано
Опубликовано
30 минут назад, regist сказал:

Восстановление системы советую включить.

Пробовали включить? Есть подозрение, что оно повреждено и не включится.

 

Просьба ещё

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

 

MDmitryS

MDmitryS

Опубликовано
  • Автор
Опубликовано

Прикрепляю Лог.

Установка Malwarebytes v.4.

Запускаю установку. Выбираю -- Личный компьютер. Проходит установка. (ползунок заполняется). Затем появляется окно о перезагрузке. Перезагружаю ПК. ПК перегружается. Ввожу пароль. Закрытие служб. Перезагрузка ПК 2 раза. После этого на экране появляется сообщение

2102202245.png

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...