Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Не устанавливается Касп 1303 блокировка прав на папки C:\ProgramData\

MDmitryS

Автор MDmitryS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

MDmitryS Новичок

MDmitryS

Опубликовано
Опубликовано

Здравствуйте. 

Где-то засел вредитель, скорее всего майнер.

Не дает установить антивири, в тч Касперский, Есет, ДрВеб...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT запускается, НО, касперского не удается установить (выдает ошибку 1303) выдает, что не хватает прав на папку ProgramData, хотя права администратора есть. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2021.02.20-14.01.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\fonts\conhost.exe');
 TerminateProcessByName('c:\windows\fonts\d1lhots.exe');
 TerminateProcessByName('c:\windows\fonts\svchost.exe');
 StopService('MicrosotMaims');
 StopService('MicrosotMais');
 QuarantineFile('c:\windows\fonts\conhost.exe', '');
 QuarantineFile('c:\windows\fonts\d1lhots.exe', '');
 QuarantineFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '');
 QuarantineFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\fonts\conhost.exe', '');
 DeleteFile('c:\windows\fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '64');
 DeleteFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 DeleteService('MicrosotMaims');
 DeleteService('MicrosotMais');
 DeleteSchedulerTask('At2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

3 часа назад, MDmitryS сказал:

Мб чем то поможете куда копать? Чего то мысли уже кончились...

А что много уже копали в системе? Просто по вашему описанию похоже на популярный нынче мйнер, для которого даже спец. утилита есть. А по вашим логам его не видно. Не понятно, толи вы тщательно его замаскировали пытаясь самостоятельно починить, либо там всё-таки его и не было.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\d1lhots.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger.

Ссылка на комментарий
Поделиться на другие сайты
MDmitryS Новичок

MDmitryS

Опубликовано
  • Автор
Опубликовано

Утром проходил KVRT несколько раз. (на картинках). После проверки отключился от Internet и перезагрузил машину. После неоднократных попыток Установить Касперского обратился к Вам.

Сейчас попытался опять установить Касперского, на что был получен код ошибки 1303. Создал Папку в указанном каталоге руками: C:\ProgramData\Kaspersky Lab код ошибки стал 1317

2102200737.png

2102200851.png

2102200851_1.png

 

Файлы отослал.

 

CollectionLog-2021.02.20-19.21.zip report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Если сами, то не надо.

 

А политики, в частности это

Цитата

HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

 

Тоже сами настраивали?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Восстановление системы советую включить.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ВНИМАНИЕ
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => Нет файла
FirewallRules: [{7601250D-9833-43F0-8CA7-F67641D3C5D2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
EmptyTemp:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
30 минут назад, regist сказал:

Восстановление системы советую включить.

Пробовали включить? Есть подозрение, что оно повреждено и не включится.

 

Просьба ещё

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

 

Ссылка на комментарий
Поделиться на другие сайты
MDmitryS Новичок

MDmitryS

Опубликовано
  • Автор
Опубликовано

Прикрепляю Лог.

Установка Malwarebytes v.4.

Запускаю установку. Выбираю -- Личный компьютер. Проходит установка. (ползунок заполняется). Затем появляется окно о перезагрузке. Перезагружаю ПК. ПК перегружается. Ввожу пароль. Закрытие служб. Перезагрузка ПК 2 раза. После этого на экране появляется сообщение

2102202245.png

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • keleta
      не открывается папка programdata
      Автор keleta
      открываю папку programdata, а она сама закрывается и через некоторое время закрывается диспетчер задач. не понимаю, что мне делать
    • Taker1993
      [РЕШЕНО] "ошибка 0xc0000017", скорее всего вирус-майнер
      Автор Taker1993
      Добрый день. Борюсь с этим майнером уже приличное время, пробовал разные антивирусы и думал что он пропал, так как используя несколько разных антивирусов от основной части майнера я вроде избавился, но заметил ещё тогда что много ошибок в системе 0xc0000017 при исполнении команд dism в командной строке (которую я вчера исправил), при обновлении всех компонентов windows и т.п. (пробовал откатывать удаляя по гайдам папку с апдейтами используя утилиты для активации обнов - но безрезультатно), также есть ошибка с безопасностью, в начале была проблема с целостностью ядра и я удалил два мешающих файла исправив проблему, но ошибка с этим так до конца и  не решилась и он пишет про отсутствие TPM - а конкретно NET HELPMSG 2182 Problem with BITS; также есть проблема с невозможностью запуска диспетчера устройств и других подобных окон и некоторых команд в комбинации Win+R. Почему я думал, что избавился от майнера полностью: грузить систему перестало на постоянке и сильных нагрузок не было, а с остальным думал уже ничего не сделаешь и нужно переустанавливать Windows, оставил на потом, так как есть немало сторонних лицензионных программ,, которые шли вместе с ноутбуком и я боялся к ним потерять доступ, ну и так как не было точек восстановления и если даже они были я не могу к ним получить доступ, а оказывается всё-таки нет майнер на месте.
      Несколько месяцев спустя заметил, а конкретно вчера: что изменилась возможность администрирования и я не могу получить доступ к системным файлам, не мог удалить, изменять, переименовывать файлы которые вызывали нарушение целостности ядра (xusb21.sys и STTub30.sys), но по итогу через стороннюю утилиту я их удалил (один из них STTub30.sys я потом воcстановил найдя на github). Вернул также сегодня в ночь через реестр доступ к DISM и сделал успешный запуск и восстановление по команде Dism /Online /Cleanup-Image /RestoreHealth, а SFC и прежде работала, но это ничего не поменяло; вообще все последние именно операции делал по одному гайду и там после восстановления DISM советовали воспользоваться Farbar Recovery Scan Tool 64-бит, но наткнулся поздновато и это не помогло, так как нужен составленный fixlist.txt, да и Fabar раз 6 выдал ошибку при сканировании bcdedit.exe (в процессе написания текста сделал повторное сканирование c Fabar и ошибок было уже штуки 3-4 bcdedit.exe, а результаты этого сканирования прикрепил в качестве файлов Addition.txt и FRST.txt вдруг пригодятся).
      Сегодня заметил, что даже с включённым лицензионным Касперычем майнер снова поменял и ограничил что-то там в брандмауэре Windows - было уведомление (понимаю, что он уже давно в исключениях, но всё же). Ни Kaspersky Virus Removal Tool, ни Dr.Web Cruelt! ни нашли ничего, вероятно майнер добавил их уже в исключения, так как при удалении основных компонентов майнера я уже пользовался ими раньше, но до этого я пользовался AV block Remover и он удалял майнер, но спустя время он появляется снова. 
      Был бы очень рад если бы получилось решить данную проблему, Windows лицензионный шедший вместе с ноутом переустанавливать всё же не хочется и я не уверен что и там не будет ошибок в процессе.
      Заранее всем откликвнушимся большое спасибо и с пасхой!
      CollectionLog-2025.04.20-14.19.zip Addition.txt FRST.txt
    • tianddu
      удаление папки с KES без прав
      Автор tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • gatro
      Словил майнер сидит скорее всего в ProgramData так как закрывает данную папку и диспетчер задач
      Автор gatro
      У меня процессор просто сам по себе нагружается постоянно минимум на 60% но как только я запускаю диспетчер задач вся нагрузка резко пропадает и через несколько секунд сам диспетчер берёт и закрывается. Так же мне не удаётся открыть некоторые программы по типу установщика антивируса.
    • Tristan
      [РЕШЕНО] поймал майнер, не дает запускать антивирусы. пишет либо ошибку доступа к папке в temp либо что не хватает прав(у меня права администратора)
      Автор Tristan
      прогоны через кврт и курейт не дали результатов
      так же вирус закрывает диспетчер задач и до опредленного прогона мешал переходу на сайты антивирусов и поиску таких сайтов
×
×
  • Создать...