Не могу установить антивирус

**rednaksi** · 21.06.2017, 07:20

Не устанавливается антивирус eset "причиной этого может быть деятельность вредоносных программ". Проверкой онлайн-сканером от eset пролечил, установить антивирус всё равно не удается. Так же постоянно появляется пустой процесс грузящий процессор на 60%

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.06.2017, 07:23

Уважаемый(ая) rednaksi, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 21.06.2017, 11:33

Здравствуйте!

1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - HKCU\..\Run: [aswast] C:\Users\Alekcandr\AppData\Roaming\aswast\python\pythonw.exe "C:\Users\ALEKCA~1\AppData\Roaming\aswast\ml.py" --APPNAME="aswast"
O4 - HKCU\..\Run: [nqgubsfhir] C:\Windows\explorer.exe "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=30D65E02C20558FBABA6024D78695E79&utm_d=20170403"
O4 - HKLM\..\Run: [DateOption5] C:\Users\Alekcandr\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=141 0 300000 (file missing)
O4 - HKLM\..\Run: [DateOption] C:\Users\Alekcandr\AppData\Local\DateOption\regCheck.vbs www.syschecksync.com/?rnd=141 0 0 (file missing)
O4 - User Startup: regCheck.lnk    ->    C:\Users\Alekcandr\AppData\Local\rightchose\regCheck.vbs www.rightchose.xyz/?rnd=141 0 3000000

2. Посмотрите, вы сами ставили эти программы?

Код:

C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe
C:\Users\Alekcandr\AppData\Local\Phoenix Browser Updater\Phoenix Updater.exe
C:\Users\Alekcandr\AppData\Local\Translator Helper.exe

Если они вам не нужны, - удалите.

3. Выполните скрипт AVZ.

Код:

begin
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 StopService('SvcHost Service Host');
 DeleteService('SvcHost Service Host');
 QuarantineFile('C:\Users\Alekcandr\AppData\Local\rightchose\regCheck.vbs','');
 QuarantineFileF('C:\Users\Alekcandr\AppData\Local\rightchose', '*', false, '', 0, 0);
 QuarantineFile('C:\Users\Alekcandr\AppData\Local\DateOption\regCheck.vbs','');
 QuarantineFileF('C:\Users\Alekcandr\AppData\Local\DateOption', '*', false, '', 0, 0);
 QuarantineFile('C:\Users\ALEKCA~1\AppData\Roaming\aswast\ml.py','');
 QuarantineFileF('C:\Users\ALEKCA~1\AppData\Roaming\aswast', '*', false, '', 0, 0);
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFileF('c:\windows\microsoft', '*', false, '', 0, 0);
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFileMask('c:\windows\microsoft','*',true);
 DeleteDirectory('c:\windows\microsoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 DeleteFile('C:\Users\ALEKCA~1\AppData\Roaming\aswast\ml.py','32');
 DeleteFileMask('C:\Users\ALEKCA~1\AppData\Roaming\aswast','*',true);
 DeleteDirectory('C:\Users\ALEKCA~1\AppData\Roaming\aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nqgubsfhir');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
 DeleteFile('C:\Users\Alekcandr\AppData\Local\DateOption\regCheck.vbs','32');
 DeleteFileMask('C:\Users\Alekcandr\AppData\Local\DateOption','*',true);
 DeleteDirectory('C:\Users\Alekcandr\AppData\Local\DateOption');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption5');
 DeleteFile('C:\Users\Alekcandr\AppData\Local\rightchose\regCheck.vbs','32');
 DeleteFileMask('C:\Users\Alekcandr\AppData\Local\rightchose','*',true);
 DeleteDirectory('C:\Users\Alekcandr\AppData\Local\rightchose');
 DeleteFile('C:\Windows\system32\Tasks\aswast','64');
 DeleteFile('C:\Windows\system32\Tasks\aswast2','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B','64');
 DeleteFile('C:\Windows\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\Windows\system32\Tasks\Translator Standart Helper','64');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

4. Пришлите архив карантина из папки AVZ.

5. Сделайте новые логи программой Autologger и пришлите их.

6. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**rednaksi** · 22.06.2017, 10:53

Карантин отправил
FRST.txt не даёт загрузить, отправил на гуглдиск

https://drive.google.com/file/d/0B5z06qkQ39PYYnRVV1dSc1VUams/view?usp=sharing

**lex0819** · 22.06.2017, 11:46

У вас сейчас работает антивирус касперского

Код:

(AO Kaspersky Lab) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe

Если вы хотите поставить Eset, сперва удалите касперского.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {1e30cfa4-fc72-11e5-8298-364b50b7ef2d} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {2e678cf6-d105-11e6-82ab-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {31ee2eba-d809-11e6-82ab-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {36f404de-0ac6-11e7-82ae-3010b31b1f8e} - "F:\Launcher.exe" -a
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {49c92c29-6709-11e5-827a-3010b31b1f8e} - "F:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {49c92e3f-6709-11e5-827a-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {49c93ac5-6709-11e5-827a-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {60f82f9e-46e2-11e5-8271-3010b31b1f8e} - "F:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {65ad8650-d98e-11e6-82ab-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {6b4f8624-7894-11e5-827e-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {9c408926-c1ba-11e5-8294-382c4a2756ed} - "F:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {b98a94f0-c560-11e5-8295-382c4a2756ed} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {c7a403ed-30de-11e5-826b-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {c7a40436-30de-11e5-826b-3010b31b1f8e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\...\MountPoints2: {ea610809-9ae9-11e5-828a-3010b31b1f8e} - "F:\Launcher.exe" -a
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-2085628577-3810228282-3494161473-501] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-2085628577-3810228282-3494161473-1001 -> 12ABAEA11B8B9AB2DEAB6C375EF1F475 URL = 
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Extension: (No Name) - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi [not found]
FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [not signed]
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=30D65E02C20558FBABA6024D78695E79&utm_d=20170403"
CHR HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Alekcandr\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-04-08]
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X]
S1 MpKsl579662ce; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{92819B51-6AA1-463C-9AB7-951A2A9287B5}\MpKsl579662ce.sys [X]
U0 msahci; system32\drivers\msahci.sys [X]
C:\ProgramData\fontcacheev1.dat
ScreenUp (HKLM-x32\...\ScreenUp) (Version: 1.7 - ScreenUP LLC) <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-2085628577-3810228282-3494161473-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Alekcandr\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-2085628577-3810228282-3494161473-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Alekcandr\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-2085628577-3810228282-3494161473-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Alekcandr\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => No File
Task: {29ABF2BF-65C1-437F-BB7C-F167F5DA261F} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {5330DBBF-968B-4CCE-81CC-24BAD24B3D98} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {7A7BC40E-6F18-457E-AE12-4E9FAAE032A3} - \Translator Standart Helper -> No File <==== ATTENTION
Task: {BCD2B7DA-302E-4FE9-B873-C696993BCC9A} - \aswast -> No File <==== ATTENTION
Task: {E851BE86-F879-46FD-9EC5-AED16A415E93} - \aswast2 -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\19601204.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\19601204.sys => ""="Driver"
HKU\S-1-5-21-2085628577-3810228282-3494161473-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**rednaksi** · 23.06.2017, 05:22

удалил KIS, попробовал установить ESS, так же вылетает ошибка

**lex0819** · 23.06.2017, 10:47

По логам вроде все подозрительное у вас вычистили.

Другие антивирусы у вас устанавливаются? Например касперского вы и поставили, и удалили в штатном режиме?

Посмотрите на форуме ESET, вот тут у них похожую проблему обсуждали.

Попробуйте проверить систему из командной строки

Код:

sfc /scannow

**CyberHelper** · 23.06.2017, 10:57

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 14
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу установить антивирус (заявка № 213198)

Опции темы