Перейти к содержанию
Правила раздела

Не устанавливается Касп 1303 блокировка прав на папки C:\ProgramData\

MDmitryS

Автор MDmitryS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MDmitryS

MDmitryS

Опубликовано
Опубликовано

Здравствуйте. 

Где-то засел вредитель, скорее всего майнер.

Не дает установить антивири, в тч Касперский, Есет, ДрВеб...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT запускается, НО, касперского не удается установить (выдает ошибку 1303) выдает, что не хватает прав на папку ProgramData, хотя права администратора есть. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2021.02.20-14.01.zip

regist

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\fonts\conhost.exe');
 TerminateProcessByName('c:\windows\fonts\d1lhots.exe');
 TerminateProcessByName('c:\windows\fonts\svchost.exe');
 StopService('MicrosotMaims');
 StopService('MicrosotMais');
 QuarantineFile('c:\windows\fonts\conhost.exe', '');
 QuarantineFile('c:\windows\fonts\d1lhots.exe', '');
 QuarantineFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '');
 QuarantineFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\fonts\conhost.exe', '');
 DeleteFile('c:\windows\fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '64');
 DeleteFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 DeleteService('MicrosotMaims');
 DeleteService('MicrosotMais');
 DeleteSchedulerTask('At2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

3 часа назад, MDmitryS сказал:

Мб чем то поможете куда копать? Чего то мысли уже кончились...

А что много уже копали в системе? Просто по вашему описанию похоже на популярный нынче мйнер, для которого даже спец. утилита есть. А по вашим логам его не видно. Не понятно, толи вы тщательно его замаскировали пытаясь самостоятельно починить, либо там всё-таки его и не было.

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\d1lhots.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger.

MDmitryS

MDmitryS

Опубликовано
  • Автор
Опубликовано

Утром проходил KVRT несколько раз. (на картинках). После проверки отключился от Internet и перезагрузил машину. После неоднократных попыток Установить Касперского обратился к Вам.

Сейчас попытался опять установить Касперского, на что был получен код ошибки 1303. Создал Папку в указанном каталоге руками: C:\ProgramData\Kaspersky Lab код ошибки стал 1317

2102200737.png

2102200851.png

2102200851_1.png

 

Файлы отослал.

 

CollectionLog-2021.02.20-19.21.zip report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

regist

regist

Опубликовано
Опубликовано

Если сами, то не надо.

 

А политики, в частности это

Цитата

HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

 

Тоже сами настраивали?

regist

regist

Опубликовано
Опубликовано (изменено)

Восстановление системы советую включить.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ВНИМАНИЕ
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => Нет файла
FirewallRules: [{7601250D-9833-43F0-8CA7-F67641D3C5D2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
EmptyTemp:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
regist

regist

Опубликовано
Опубликовано
30 минут назад, regist сказал:

Восстановление системы советую включить.

Пробовали включить? Есть подозрение, что оно повреждено и не включится.

 

Просьба ещё

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

 

MDmitryS

MDmitryS

Опубликовано
  • Автор
Опубликовано

Прикрепляю Лог.

Установка Malwarebytes v.4.

Запускаю установку. Выбираю -- Личный компьютер. Проходит установка. (ползунок заполняется). Затем появляется окно о перезагрузке. Перезагружаю ПК. ПК перегружается. Ввожу пароль. Закрытие служб. Перезагрузка ПК 2 раза. После этого на экране появляется сообщение

2102202245.png

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      [РЕШЕНО] Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
×
×
  • Создать...