|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » На компьютер невозможно установить антивирусы |
|
|
На компьютер невозможно установить антивирусы
|
|
Ветеран Сообщения: 2099 |
Доброе время суток. Есть машина, которая была завирусована. Прогнал CureIT, Kaspersky Virus Removal Tool, AVZ с наивысшей эвристикой и опцией "поиск и нейтрализация Rootkit UserMode и Kernel Mode", все найденное было удалено. После попытался установить антивирусы: Kaspersky Free, Антивирус Касперского, Eset Nod 32 антивирус. Все они выдавали сбой в установке, смысл сообщения говорит о том что возможно на компьютере есть вирусы. В чем причина проблемы ?
|
|
|
------- Отправлено: 09:59, 13-03-2019 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
 {Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;
procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;
procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;
procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;
procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;
procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;
procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;
{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
CheckAndRestoreSection(RootStr);
CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;
CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);
if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;
SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;
CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;
SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;
{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\smb\e7.exe');
TerminateProcessByName('c:\windows\windefender.exe');
TerminateProcessByName('c:\users\user\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe');
StopService('WinmonProcessMonitor');
StopService('WinmonFS');
StopService('Winmon');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('c:\users\user\appdata\local\temp\csrss\smb\e7.exe', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('c:\windows\windefender.exe', '');
QuarantineFile('c:\users\user\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','');
DeleteFile('c:\users\user\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('Microsoft\Windows\system\system');
DeleteSchedulerTask('ScheduledUpdate');
DeleteFile('c:\windows\windefender.exe');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('c:\users\user\appdata\local\temp\csrss\smb\e7.exe', '');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', '64');
DeleteFile('c:\users\user\appdata\local\temp\csrss\smb\e7.exe', '64');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else if LangID = '0409' then
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');
{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;
CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('ScheduledUpdate');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SilentWave', '32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SilentWave', '64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
DeleteService('WinmonProcessMonitor');
DeleteService('Winmon');
DeleteService('WinmonFS');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После перезагрузки, выполните такой скрипт: Код:
begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите свежий CollectionLog. |
|
------- Отправлено: 11:50, 13-03-2019 | #2 |
|
Ветеран Сообщения: 2099
|
Профиль | Отправить PM | Цитировать Скрипты выполнил, файлquarantine.7z отправил через форму. Новый CollectionLog во вложении.
|
|
------- Отправлено: 12:43, 13-03-2019 | #3 |
|
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Файл Correct_wuauserv&BITS.log с рабочего стола прикрепите к следующему сообщению.
Войдите в безопасный режим. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\cloudnet.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\windows\windefender.exe');
StopService('Winmon');
StopService('WinmonFS');
StopService('WinmonProcessMonitor');
QuarantineFile('c:\users\user\appdata\local\temp\csrss\cloudnet.exe', '');
QuarantineFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('ScheduledUpdate');
DeleteFile('c:\users\user\appdata\local\temp\csrss\cloudnet.exe', '');
DeleteFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', '64');
DeleteFile('C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
DeleteFile('C:\Users\User\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '64');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '64');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
DeleteFile('c:\windows\windefender.exe', '32');
DeleteService('Winmon');
DeleteService('WinmonFS');
DeleteService('WinmonProcessMonitor');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SilentWave', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SilentWave', '64');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите ещё раз логи по правилам. Для повторной диагностики запустите снова Autologger (в нормальном режиме). Прикрепите свежий CollectionLog. |
|
------- Отправлено: 13:37, 13-03-2019 | #4 |
|
Ветеран Сообщения: 2099
|
Профиль | Отправить PM | Цитировать Файл Correct_wuauserv&BITS прикрепил. Скрипт смогу выполнить на днях - к машине пока имею удаленный доступ, как выполню, отпишу.
Вопрос: вы пишете про удаление файла C:\Windows\rss\csrss.exe . Проверил - в Windows нет папки rss, стоит отображение скрытых и системных файлов. Как вы определяете что этот файл там действительно есть ? |
|
|
------- Отправлено: 13:49, 13-03-2019 | #5 |
|
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 14:02, 13-03-2019 | #6 |
|
Ветеран Сообщения: 2099
|
Профиль | Отправить PM | Цитировать Поправка. Файл Quarantine.zip - отправить не получилось - при отправке через форму веб-страница "задумалась", а затем "сказала" что файл превышает 10 МБ, при отправке на почту пришло сообщение что почты quarantine@sacezone.cc нет. Вот ссылка на файл.
|
|
------- Отправлено: 14:42, 13-03-2019 | #7 |
|
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Цитата __sa__nya:
Я уже переслал, вот ответ ЛК: Цитата:
Пролечите систему с помощью KVRT. Её отчет в архиве прикрепите к сообщению. После этого соберите свежий CollectionLog. Это нужно проделать вместо рекомендаций из 4-го сообщения. |
||
|
------- Отправлено: 15:23, 13-03-2019 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Установка - [решено] невозможно установить на GPT раздел | deepincalm | Microsoft Windows 7 | 19 | 07-06-2017 19:51 | |
| невозможно установить винду на сервер | vladimirn | Microsoft Windows NT/2000/2003 | 2 | 06-10-2014 12:29 | |
| Установка - [решено] Невозможно установить Windows на диск 0... | JJKey | Microsoft Windows 7 | 7 | 30-03-2014 15:22 | |
| Установка - Невозможно установить Windows 7 после того как пробовал установить XP | vlad-00 | Microsoft Windows 7 | 2 | 08-12-2012 16:20 | |
| Разное - [решено] Не включается компьютер (причину установить невозможно) | VeRtex-2010 | Непонятные проблемы с Железом | 5 | 10-08-2010 13:10 | |
|
|
Время: 12:25. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
