[ Закрыто ] Ошибка MS 1303 вызвана вредоносными программами. Помогите! , Не могу установить антивирус

RSS

Сообщений: 19

Баллов: 9

Регистрация: 09.03.2020

Размещено 09.03.2020 00:35:09

Здравствуйте. Сегодня столкнулся с одним вирусом-майнером(как узнал). appmodule - запускался файл, который потреблял ресурсы видеокарты, как только открывал диспетчер задач, он закрывался. Трудно было отследить. До этого был установлен антивирус аваст, который не находил никакой загрозы. После поиска информации в интернете, установил Malwarebytes Chameleon, так как стандартный Malwarebytes не устанавливался. После проверки через безопасный режим, было обнаружено 44 загрозы. Которые, были удалены вместе с бесполезным Avast. Было принято решение серьезно отнестись к защите и купить Nod 32. Но к сожалению не получается установить. Ошибка " Ошибка MS 1303 вызвана вредоносными программами". Почитал много статей на Вашем форуме, ничего не помогло. Менял расположение установки, удалял остатки Аваста и тд. Помогите пожлуйста. Сделал образ автозапуска в uVS и прикрепил. Помогите пожалуйста. Или все-таки нужно менять виндовс? С нетерпением жду ответа! Спасибо. Всех женщин с 8 Марта!

Прикрепленные файлы

DESKTOP-4T8M1NU_2020-03-08_23-00-33_v4.1.8.7z (926.24 КБ)

Ответы

Пред. 1 2 3 4 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 14:02:52

хорошо,
возможно установщик ESET находил каталоги с установленными ранее антивирусами, и прекращал установку

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 09.03.2020

Размещено 09.03.2020 14:07:44

Я понял. Надеюсь, что при использовании Nod32 больше не столкнусь с подобными проблемами. Всего Вам хорошего и спасибо за быстрые и полезные ответы.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.03.2020 17:27:27

Цитата
Александр Sherr написал: в чем была проблема?

Проблема была в вирусе\майнере.
Он изменил системные настройки и заблокировал установку антивирусов.
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\ESET
------
Рекомендую повторно создать лог в FRST и прикрепить два файла.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.03.2020 17:47:56

Схожая тема:
http://www.cyberforum.ru/viruses/thread2375359.html

Сообщений: 19

Баллов: 9

Регистрация: 09.03.2020

Размещено 09.03.2020 18:28:20

Цитата

RP55 RP55 написал:

Цитата
Александр Sherr написал: в чем была проблема?

Сделал как Вы и советовали. Подскажите все ли в порядке с системой? Спасибо.

Прикрепленные файлы

Addition.txt (46.92 КБ)
FRST.txt (101.53 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.03.2020 18:58:34

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File FirewallRules: [{86ED41ED-5012-4588-8676-21EEFD61A129}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{F2B58579-5486-468D-AEB4-5A143C7B2DC9}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{3D779A6A-C4DD-4943-9EE9-A0935FFAB5EA}] => (Allow) C:\ProgramData\Windows\rutserv.exe No File FirewallRules: [{0D4E373E-59E4-4A45-A1E3-A3B8114C5798}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File FirewallRules: [{BCF0AA35-E13A-4E4B-9671-5D59F556AD94}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File FirewallRules: [{782689E1-327A-479E-B71C-9EF0145157B7}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File FirewallRules: [{E8DA28BA-F548-49F7-91D3-F56712CDF65F}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File FirewallRules: [{89B54CC6-8870-40B5-AFF4-2C377DA75CB7}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File FirewallRules: [{F1378A2A-D824-4AFC-9B7D-813A83B2C069}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File FirewallRules: [{0C69ECC8-DBC7-4DEE-99CB-C2E582947825}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File FirewallRules: [{527CE709-33E0-4F64-BF6F-7F5EDA0B6317}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File FirewallRules: [{72C1818A-06D4-4465-85EE-A453B27DDAA3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File FirewallRules: [{DB93BEBF-D3A6-4D00-84B9-D02A25FD9F53}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {110ad598-54d4-11ea-a36f-d43b04933b67} - "F:\Autorun.exe" HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {f9053a74-5585-11ea-a371-d43b04933b67} - "F:\Autorun.exe" FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 07:19:43&bName= CHR Extension: (Avast SafePrice \| Порівняння цін, вигідні пропозиції, купони) - C:\Users\Olexa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2020-02-02] S2 AvastWscReporter; "D:\AVAST\wsc_proxy.exe" /runassvc /rpcserver [X] 2020-03-08 21:59 - 2020-03-08 22:06 - 000000000 ____D C:\Users\Olexa\Doctor Web 2020-03-08 16:34 - 2020-03-09 11:37 - 000000000 __SHD C:\AdwCleaner 2020-03-08 16:34 - 2020-03-08 22:08 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\install 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\rdp 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\install 2020-03-08 16:34 - 2020-03-08 20:31 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\Users\Все пользователи\Setup 2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\ProgramData\Setup 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\RunDLL 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\RunDLL 2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ByteFence 2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\Users\Все пользователи\AVAST Software 2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\ProgramData\AVAST Software EmptyTemp: Reboot:

Код

  

AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
FirewallRules: [{86ED41ED-5012-4588-8676-21EEFD61A129}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{F2B58579-5486-468D-AEB4-5A143C7B2DC9}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{3D779A6A-C4DD-4943-9EE9-A0935FFAB5EA}] => (Allow) C:\ProgramData\Windows\rutserv.exe No File
FirewallRules: [{0D4E373E-59E4-4A45-A1E3-A3B8114C5798}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{BCF0AA35-E13A-4E4B-9671-5D59F556AD94}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{782689E1-327A-479E-B71C-9EF0145157B7}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{E8DA28BA-F548-49F7-91D3-F56712CDF65F}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{89B54CC6-8870-40B5-AFF4-2C377DA75CB7}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File
FirewallRules: [{F1378A2A-D824-4AFC-9B7D-813A83B2C069}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{0C69ECC8-DBC7-4DEE-99CB-C2E582947825}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{527CE709-33E0-4F64-BF6F-7F5EDA0B6317}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File
FirewallRules: [{72C1818A-06D4-4465-85EE-A453B27DDAA3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{DB93BEBF-D3A6-4D00-84B9-D02A25FD9F53}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {110ad598-54d4-11ea-a36f-d43b04933b67} - "F:\Autorun.exe" 
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {f9053a74-5585-11ea-a371-d43b04933b67} - "F:\Autorun.exe" 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 07:19:43&bName=
CHR Extension: (Avast SafePrice | Порівняння цін, вигідні пропозиції, купони) - C:\Users\Olexa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2020-02-02]
S2 AvastWscReporter; "D:\AVAST\wsc_proxy.exe" /runassvc /rpcserver [X]
2020-03-08 21:59 - 2020-03-08 22:06 - 000000000 ____D C:\Users\Olexa\Doctor Web
2020-03-08 16:34 - 2020-03-09 11:37 - 000000000 __SHD C:\AdwCleaner
2020-03-08 16:34 - 2020-03-08 22:08 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\install
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\rdp
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\install
2020-03-08 16:34 - 2020-03-08 20:31 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\ProgramData\Setup
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\RunDLL
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ByteFence
2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\Users\Все пользователи\AVAST Software
2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\ProgramData\AVAST Software
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.03.2020 19:01:46

+
После выполнения скрипта
Примените:

Avast Clear (Uninstall Utility)
https://www.comss.ru/page.php?id=383

Avira: https://www.comss.ru/page.php?id=4372
* Антивирусы всегда нужно удалять спец.утилитами иначе в системе будут хвосты...

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.03.2020 19:25:03

+
Если сами не меняли настройки Firewall выполните скрипт:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
FirewallRules: [{42927522-5648-4D1D-8206-0A3BC2A1D09A}] => (Block) LPort=445 FirewallRules: [{48E056DA-55B1-4BA9-9883-5442B11F9663}] => (Block) LPort=445 FirewallRules: [{B9A49B0D-0A72-4391-8B88-F79BB2FB84E2}] => (Block) LPort=139 FirewallRules: [{C9A333BC-E93F-455D-9E59-99093CA0F8CE}] => (Block) LPort=139 FirewallRules: [{E2D89D4C-A6DE-4C93-92C1-3AD42B2B6D98}] => (Allow) LPort=3389 FirewallRules: [{6E0F1E94-5C70-4D35-B1C7-475517990BD9}] => (Allow) LPort=3389 FirewallRules: [{C8698C86-B3DA-424D-B75C-EBCD178DC774}] => (Allow) LPort=9494 FirewallRules: [{D5E6FA70-EA55-4C07-96D7-3C29623DFCE7}] => (Allow) LPort=9494 FirewallRules: [{7E3E1CC9-AD86-4D12-BB8B-782ADE798A30}] => (Allow) LPort=9393 FirewallRules: [{86CE6150-80E9-4A97-B6C3-7CB5AEEE847E}] => (Allow) LPort=9393 FirewallRules: [{7E25D707-45EC-445B-AA26-AE2D5A4F25A9}] => (Allow) LPort=9393 FirewallRules: [{7FDA28D9-321B-4D02-A0C3-E3A56257ED66}] => (Allow) LPort=9494 FirewallRules: [{42A9355E-7513-4A88-AABD-8734031A210D}] => (Allow) LPort=9393 FirewallRules: [{4E8D179C-9CDD-4949-8FDF-8204E6D1BBC5}] => (Allow) LPort=9494 EmptyTemp: Reboot:

Код

  

FirewallRules: [{42927522-5648-4D1D-8206-0A3BC2A1D09A}] => (Block) LPort=445
FirewallRules: [{48E056DA-55B1-4BA9-9883-5442B11F9663}] => (Block) LPort=445
FirewallRules: [{B9A49B0D-0A72-4391-8B88-F79BB2FB84E2}] => (Block) LPort=139
FirewallRules: [{C9A333BC-E93F-455D-9E59-99093CA0F8CE}] => (Block) LPort=139
FirewallRules: [{E2D89D4C-A6DE-4C93-92C1-3AD42B2B6D98}] => (Allow) LPort=3389
FirewallRules: [{6E0F1E94-5C70-4D35-B1C7-475517990BD9}] => (Allow) LPort=3389
FirewallRules: [{C8698C86-B3DA-424D-B75C-EBCD178DC774}] => (Allow) LPort=9494
FirewallRules: [{D5E6FA70-EA55-4C07-96D7-3C29623DFCE7}] => (Allow) LPort=9494
FirewallRules: [{7E3E1CC9-AD86-4D12-BB8B-782ADE798A30}] => (Allow) LPort=9393
FirewallRules: [{86CE6150-80E9-4A97-B6C3-7CB5AEEE847E}] => (Allow) LPort=9393
FirewallRules: [{7E25D707-45EC-445B-AA26-AE2D5A4F25A9}] => (Allow) LPort=9393
FirewallRules: [{7FDA28D9-321B-4D02-A0C3-E3A56257ED66}] => (Allow) LPort=9494
FirewallRules: [{42A9355E-7513-4A88-AABD-8734031A210D}] => (Allow) LPort=9393
FirewallRules: [{4E8D179C-9CDD-4949-8FDF-8204E6D1BBC5}] => (Allow) LPort=9494

EmptyTemp:
Reboot:

Изменено: RP55 RP55 - 09.03.2020 19:25:41

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.03.2020 19:41:06

Не с этой ли программой прилетел вам майнер?
NitroSense Service
Есть у вас предположение, откуда возникло заражение в системе?

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 09.03.2020

Размещено 09.03.2020 19:44:27

Цитата
RP55 RP55 написал: Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!Проверяем, как работает система...

Сделал все вышеуказанное, кроме

Цитата
RP55 RP55 написал: +После выполнения скрипта Примените:Avira: https://www.comss.ru/page.php?id=4372 *

Так как авира никогда ранее не была установлена. После этого значек Malverbyts Chameleon превратился в ярлык, а когда пробовал запусакть через папку с программой, то не запускается.

Прикрепленные файлы

Fixlog.txt (4.31 КБ)

Пред. 1 2 3 4 След.