Не устанавливается Malwarebytes и прочие антивирусы

1цц

Уважаемый(ая) [B]artem-tsoy[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Ждём логи.

Только что удалил логи. Я от слова совсем не разбираюсь в логах, но просмотрев их увидел, что в них есть мои айпи адреса и прочая информация. Как только залил к Вам на сайт свои логи на почту пришло сообщение о попытке входа в мой аккаунт на другом сайте. Не знаю, связано ли это с тем, что я отправлял сюда логи, но я перестраховался и удалил их.

Без логов мы не сможем вам помочь.
Уточню, в этом разделе форума любое вложение видно только создавшему тему и консультанту.

Только что я зашёл в темы созданные другими пользователями и спокойно смог скачать их логи к себе на компьютер.

Тогда для вас будет удобен платный вариант лечения.

Но скажите, я ведь правильно размышляю: если мои логи попадут к плохому человеку, то с помощью них он сможет сделать что-то нехорошее?

Как правило, в логах нет ничего компрометирующего. Если уж так волнуетесь, то по окончании лечения вы сможете сами их удалить.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
[quote]
Defraggler
Driver Booster 8
[/quote]

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
fname := NormalDir(path + AFL[i]);
if DirectoryExists(fname) then
begin
AddToLog(fname + ' - Exists');
FSResetSecurity(fname);
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
DeleteDirectory(fname);
end;
end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
begin
AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists');
BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
RegKeyParamDel('HKEY_USERS', PolExplKey, DR);
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure AV_block_remove;
begin
clearlog;
// SetupAVZ('debug=y');
if GetAVZVersion < 5.18 then begin
ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
L_SID := TStringList.Create;
RegKeyEnumKey('HKEY_USERS', '\', L_SID);
for i:= 0 to L_SID.Count-1 do
Del_DisallowRun('\'+ L_SID[i]);
L_SID.Free;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
end;

begin
AV_block_remove;
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].

После перезагрузки, выполните такой скрипт:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.




Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])

Спасибо, чуть позже всё это сделаю. А пока что можете, пожалуйста, в двух словах описать, что именно у меня не так с системой? И для чего мне нужно сделать все эти действия?

Активен майнер, препятствующий скачиванию и установке популярных антивирусов.
Соответственно действия предназначены для его удаления и приведения системы в порядок.

После выполнения скрипта, программа закрылась и [U]компьютер не был перезагружен.[/U] Перезагрузил его в ручную и теперь при запуске AVZ выскакивает следующее окно: "Произошла ошибка при выполнении ... Операция не была завершена, так как файл содержит вирус или потенциально нежелательную программу" (пробовал скачать заново - не помогло). При том, что Malwarebytes теперь установить удалось

[quote="artem-tsoy;1517594"]пробовал скачать заново - не помогло[/quote]
Что именно пробовали скачать, Автологер?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="artem-tsoy;1517594"]выскакивает следующее окно: "Произошла ошибка[/quote]
Скриншот покажите.

[QUOTE=Sandor;1517595]Что именно пробовали скачать, Автологер?

[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]


Скриншот покажите.[/QUOTE]
Да, автологер

Отключите временно антивирус, ложное срабатывание на AVZ, похоже.

У меня, на сколько мне известно, не установлены никакие антивирусы

Защитник отключите.
[url=http://remontka.pro/smartscreen-off-windows-10/]Как отключить SmartScreen[/url]

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]var PathAutoLogger : string;
begin
clearlog;
if IsWOW64 then SetupAVZ('X64R=NX');
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps');
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI');
SaveLog(PathAutoLogger+'report.log');
end.
[/CODE]


В папке Автологера появится отчёт [B]report.log[/B], прикрепите его к следующему сообщению.

Дополнительно:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

В папке появилось два файла report

[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\...\MountPoints2: {5f3f6eb4-5012-11ea-99f4-d46a6ab4cb76} - "G:\setup.exe"
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\...\MountPoints2: {646203bc-b066-11e9-99d7-ace2d307c267} - "G:\HiSuiteDownLoader.exe"
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF user.js: detected! => C:\Users\artem\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2020-10-19]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP19.0.0\Bases\klids.sys [X]
2021-01-18 20:56 - 2019-01-16 10:25 - 000000000 ____D C:\ProgramData\ProductData
2021-01-18 20:56 - 2019-01-16 10:23 - 000000000 ____D C:\Users\artem\AppData\Roaming\IObit
2021-01-18 19:58 - 2020-08-16 01:53 - 000000000 __SHD C:\ProgramData\Doctor Web
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and (RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall' or RootPath='SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall')]
WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::[Filename => C:\Users\artem\AppData\Roaming\DriverPack Cloud\triggers\ProgramChange.log][Text => Installed programs changed]
WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::[Filename => C:\Users\artem\AppData\Roaming\DriverPack Cloud\triggers\DeviceChange.log][Text => Device changed: %TargetInstance.Caption% %TargetInstance.DeviceID%]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\S-1-5-21-3536564391-1049192422-2659509134-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
FirewallRules: [{F80129F1-0BA2-42B7-A176-9C73B618D8B0}] => (Block) LPort=139
FirewallRules: [{30977ECA-70F5-4E66-949E-BED40BD4B73E}] => (Block) LPort=445
FirewallRules: [{2D345C19-84DE-490E-8A9B-B92D4C811400}] => (Block) LPort=139
FirewallRules: [{0F317434-A0D6-41B4-ABA4-F06B09F50700}] => (Block) LPort=445
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.



[quote="artem-tsoy;1517631"]В папке появилось два файла report[/quote]
А именно без цифры в имени - такого нет?

Папка с дампом больше не появляется?

Файла без цифр -нет, папка больше не появляется. Спасибо большое, что помогаете мне!

Раз проблема решена, будем завершать:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

После перезагрузки на рабочем столе вновь появилась папка с дампом

Автологер с его папкой уже удалили? Если да, скачайте заново и запустите. Дождитесь окончания сканирования, затем удалите файлы report с цифрами и выполните скрипт из сообщения №19.
Полученный в результате report.log прикрепите.

Файла report нигде нет, сколько раз не пробовал - не получается. Только тот файл, что я прикрепил.

Хорошо, последите будет ли появляться та папка.

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя [b]включен[/b]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.19.232.1124.0008 [color=red][b]Внимание! [url=https://go.microsoft.com/fwlink/?linkid=860984]Скачать обновления[/url][/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 [color=red][b]Внимание! Программа удаленного доступа![/b][/color]
-------------------------------- [ Java ] ---------------------------------
Java 2 Runtime Environment Standard Edition v1.2.2 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://java.com/download/manual.jsp]Java SE 8[/url] (jre-8u271-windows-i586.exe)[/b].
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2084, 01.12.2018 [color=red][b]Внимание! [url=https://www.aimp.ru/files/windows/aimp_4.70.2239.exe]Скачать обновления[/url][/b][/color]
HandBrake 1.2.0 v.1.2.0 [color=red][b]Внимание! [url=https://handbrake.fr/downloads.php]Скачать обновления[/url][/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.2 v.9.2.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Acrobat Reader DC[/url][/b].


Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]