Подозрение на вирусы. KVRT после нажатия начать проверку - не запускает ее.
Подозрение на вирусы. KVRT после нажатия начать проверку - не запускает ее.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dimasttik, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйтe!
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RebootWindows(true); end.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Результаты работы frst
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-4264649965-2238064085-4040431705-1001\...\Policies\Explorer: [DisallowRun] 1 GroupPolicy: Restriction ? <==== ATTENTION S3 klupd_klif_arkmon_08C1B782FF4209043BB25563283D3E70; \??\C:\Users\dmitr\AppData\Local\Temp\{22B699C1-57CA-4560-9AB2-DA34D2326C7E}\08C1B782FF4209043BB25563283D3E70.sys [X] <==== ATTENTION S3 klupd_klif_arkmon_6255CD4FB98952E4684138FFD4C3A4BD; \??\C:\Users\dmitr\AppData\Local\Temp\{8D1DBA2A-3462-4919-A3C8-0ADAE71C4776}\6255CD4FB98952E4684138FFD4C3A4BD.sys [X] <==== ATTENTION S3 klupd_klif_arkmon_626C2A1F3328B7D48B12762471AC0509; \??\C:\Users\dmitr\AppData\Local\Temp\{B41A2FCB-0B2B-4BFB-95FD-88B2A3F12EB6}\626C2A1F3328B7D48B12762471AC0509.sys [X] <==== ATTENTION S3 klupd_klif_arkmon_8CE2CD8C6F59ECE41B311C7CD684820D; \??\C:\Users\dmitr\AppData\Local\Temp\{2B7DD983-DEC9-45D5-A302-7DB69E662FFB}\8CE2CD8C6F59ECE41B311C7CD684820D.sys [X] <==== ATTENTION S3 klupd_klif_arkmon_9B7C9C742EF84C04F8DBA03D29DB5E44; \??\C:\Users\dmitr\AppData\Local\Temp\{D78642FE-FD83-4763-847E-DBF0BE2285D5}\9B7C9C742EF84C04F8DBA03D29DB5E44.sys [X] <==== ATTENTION 2020-11-08 13:49 - 2020-05-01 21:51 - 000000000 __SHD C:\ProgramData\Doctor Web Toolbar: HKU\S-1-5-21-4264649965-2238064085-4040431705-1001 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKU\S-1-5-21-4264649965-2238064085-4040431705-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - No File FirewallRules: [UDP Query User{37FDB300-E424-4076-A13C-CC5DA89271CF}C:\users\dmitr\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\dmitr\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [TCP Query User{E200D3A0-08FF-412C-8A64-95CA93309CA6}C:\users\dmitr\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\dmitr\appdata\local\mediaget2\mediaget.exe => No File FirewallRules: [{8A762720-B804-436B-9902-C49A54C62EAD}] => (Block) LPort=139 FirewallRules: [{F0C9683E-53A5-4745-B8A8-95673600FF17}] => (Block) LPort=445 FirewallRules: [{3BAC1623-FB0C-41F6-A996-2CFBFCAA1ABC}] => (Block) LPort=445 FirewallRules: [{147CBFD9-8ED9-4599-B1BD-CC5B1EC9B574}] => (Block) LPort=139 FirewallRules: [{8CA52341-004E-44B3-A532-B6B9644A3E22}] => (Allow) LPort=3389 FirewallRules: [{2DA12AAE-F081-4C3B-B056-EA8F186D486E}] => (Allow) LPort=3389 EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Здравствуйте, уже вчера после действий сканирования - зашел в KRTV и о чудо запустился и выполнил проверку, спасибо большое!
Нужно ли в таком случае делать дальнейший действия- или уже все нормально?
Да, фикс из моего предыдущего сообщения выполните всё равно и отчёт в виде файла Fixlog.txt покажите.
А кто такой пользователь Джон?
Этот вредонос обычно создаёт такого скрытого пользователя с правами администратора.
Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Большое спасибо за помощь.
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft OneDrive v.19.232.1124.0012 Внимание! Скачать обновления
ASUS Live Update v.3.6.8 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
------------------------------- [ Browser ] -------------------------------
Opera Stable 72.0.3815.207 v.72.0.3815.207 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Читайте Советы и рекомендации после лечения компьютера.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 41
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
Уважаемый(ая) Dimasttik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
