Перейти к содержанию
Правила раздела

Не устанавливается Касп 1303 блокировка прав на папки C:\ProgramData\

MDmitryS

От MDmitryS
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

MDmitryS Новичок

MDmitryS

Опубликовано
Опубликовано

Здравствуйте. 

Где-то засел вредитель, скорее всего майнер.

Не дает установить антивири, в тч Касперский, Есет, ДрВеб...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT запускается, НО, касперского не удается установить (выдает ошибку 1303) выдает, что не хватает прав на папку ProgramData, хотя права администратора есть. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2021.02.20-14.01.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\fonts\conhost.exe');
 TerminateProcessByName('c:\windows\fonts\d1lhots.exe');
 TerminateProcessByName('c:\windows\fonts\svchost.exe');
 StopService('MicrosotMaims');
 StopService('MicrosotMais');
 QuarantineFile('c:\windows\fonts\conhost.exe', '');
 QuarantineFile('c:\windows\fonts\d1lhots.exe', '');
 QuarantineFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '');
 QuarantineFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\fonts\conhost.exe', '');
 DeleteFile('c:\windows\fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\Fonts\Mysql\wai.bat', '64');
 DeleteFile('c:\windows\fonts\svchost.exe', '');
 DeleteFile('c:\windows\Fonts\svchost.exe', '64');
 DeleteService('MicrosotMaims');
 DeleteService('MicrosotMais');
 DeleteSchedulerTask('At2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

3 часа назад, MDmitryS сказал:

Мб чем то поможете куда копать? Чего то мысли уже кончились...

А что много уже копали в системе? Просто по вашему описанию похоже на популярный нынче мйнер, для которого даже спец. утилита есть. А по вашим логам его не видно. Не понятно, толи вы тщательно его замаскировали пытаясь самостоятельно починить, либо там всё-таки его и не было.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Fonts\conhost.exe', '');
 QuarantineFile('C:\Windows\Fonts\d1lhots.exe', '');
 DeleteFile('C:\Windows\Fonts\conhost.exe', '');
 DeleteFile('C:\Windows\Fonts\d1lhots.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

 

Компьютер перезагрузится.
 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Для повторной диагностики запустите снова AutoLogger.

Ссылка на комментарий
Поделиться на другие сайты
MDmitryS Новичок

MDmitryS

Опубликовано
  • Автор
Опубликовано

Утром проходил KVRT несколько раз. (на картинках). После проверки отключился от Internet и перезагрузил машину. После неоднократных попыток Установить Касперского обратился к Вам.

Сейчас попытался опять установить Касперского, на что был получен код ошибки 1303. Создал Папку в указанном каталоге руками: C:\ProgramData\Kaspersky Lab код ошибки стал 1317

2102200737.png

2102200851.png

2102200851_1.png

 

Файлы отослал.

 

CollectionLog-2021.02.20-19.21.zip report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Если сами, то не надо.

 

А политики, в частности это

Цитата

HKLM\...\Policies\Explorer: [ShowSuperHidden] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

 

Тоже сами настраивали?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Восстановление системы советую включить.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\Software\Policies\...\system: [DisableCMD] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm_filter\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->fuckyoumm_itimer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->fuckyoumm_filter::[Query => select * from __timerevent where timerid="fuckyoumm_itimer"] <==== ВНИМАНИЕ
FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe => Нет файла
FirewallRules: [{7601250D-9833-43F0-8CA7-F67641D3C5D2}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
EmptyTemp:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
30 минут назад, regist сказал:

Восстановление системы советую включить.

Пробовали включить? Есть подозрение, что оно повреждено и не включится.

 

Просьба ещё

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

 

Ссылка на комментарий
Поделиться на другие сайты
MDmitryS Новичок

MDmitryS

Опубликовано
  • Автор
Опубликовано

Прикрепляю Лог.

Установка Malwarebytes v.4.

Запускаю установку. Выбираю -- Личный компьютер. Проходит установка. (ползунок заполняется). Затем появляется окно о перезагрузке. Перезагружаю ПК. ПК перегружается. Ввожу пароль. Закрытие служб. Перезагрузка ПК 2 раза. После этого на экране появляется сообщение

2102202245.png

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tianddu
      удаление папки с KES без прав
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • gatro
      Словил майнер сидит скорее всего в ProgramData так как закрывает данную папку и диспетчер задач
      От gatro
      У меня процессор просто сам по себе нагружается постоянно минимум на 60% но как только я запускаю диспетчер задач вся нагрузка резко пропадает и через несколько секунд сам диспетчер берёт и закрывается. Так же мне не удаётся открыть некоторые программы по типу установщика антивируса.
    • Tristan
      [РЕШЕНО] поймал майнер, не дает запускать антивирусы. пишет либо ошибку доступа к папке в temp либо что не хватает прав(у меня права администратора)
      От Tristan
      прогоны через кврт и курейт не дали результатов
      так же вирус закрывает диспетчер задач и до опредленного прогона мешал переходу на сайты антивирусов и поиску таких сайтов
    • Michael652341
      Вирус-майнер (папки в ProgramData с названиями популярных антивирусов, странный пользователь John и т. д.)
      От Michael652341
      Здравствуйте!
       
      Недавно удалил с помощью различных программ (CureIt, adwcleaner, FRST64) майнера и следы его работы. Но опасаюсь, что что-то может быть ещё не исправлено, так как FRST просит некий фа йл для исправлений, но как его создать, я не знаю. Прикреплю логи его работы (и ещё одной утилиты). Подскажите, пожалуйста, как исправить то, что в логах значится на исправление. Что-то уже исправлено, например, удалён John, а файл, который лежит в папке ProgramData и называется как-то вроде ntuser.pol, смущает меня до сих пор. К сожалению, о требуемом дополнительно сборщике логов узнал только потом, когда уже провёл лечение с помощью советов с других форумов, поэтому применять его будет бесполезно. 
      AV_block_remove_2023.04.02-03.28.log AV_block_remove_2023.04.02-03.26.log AV_block_remove_2023.04.02-03.24.log Addition.txt FRST.txt
    • GROT
      Включил компьютер , правая часть экрана монитора черная , пропали системные иконки с панели задач , ярлыки ,папки , не реагирует на мышку
      От GROT
      Помогите пожалуйста , При включении Компьютера правая часть экрана монитора черная , не реагирует на мышку , иконки с рабочего стола пропали 
×
×
  • Создать...