Недавно заметил что система блокирует запуск regedit, ccleaner и др программы. AVZ сказал что это отладчик системного процесса svhost.exe
Недавно заметил что система блокирует запуск regedit, ccleaner и др программы. AVZ сказал что это отладчик системного процесса svhost.exe
Уважаемый(ая) Gitzzz, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteService('TS888x64'); DeleteService('QMUdisk'); ExecuteRepair(9); RebootWindows(false); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог HijackThis.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
Как просили.
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются MediaGet если используете эту программу.
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
логи
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-568097871-479763017-1109998445-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=profitraf3 FF Plugin HKU\S-1-5-21-568097871-479763017-1109998445-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File OPR StartupUrls: "hxxp://www.yandex.ru/?win=153&clid=2180933", "hxxp://2knl.org/?src=hp4&subid1=feb", "hxxp://2knl.org/?src=hp4&subid1=feb" OPR Extension: (Быстрый поиск) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-02] S3 WINIO; \??\D:\IQIYI Video\LStyle\winio.sys [X] 2015-06-05 23:36 - 2015-06-06 00:19 - 00000000 ____D C:\ProgramData\boost_interprocess Task: {1E1612B5-31AA-49C1-B063-5D9D485C5A14} - \Steam-S-1-8-22-9865GUI No Task File <==== ATTENTION Task: {C5A19CE2-5A3B-4544-8B3E-CA6D99F0ED2E} - System32\Tasks\Soft installer => C:\Users\Admin\AppData\Local\IObit installer\iobitdownloader_installcube.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Все сделал.
Хм...
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
вот
Отключите до перезагрузки антивирус, скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c regt 35 delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\IOBIT INSTALLER\IOBITDOWNLOADER_INSTALLCUBE.EXE delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL deltmp restart
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Вот лог
- - - - -Добавлено - - - - -
Кстати, вирус не дает править разделы в реестре, я думал переименовать файл regedit.exe в Gegedit.exe, вирус запретил, сказал что отказано в доступе
- - - - -Добавлено - - - - -
И еще svchost после запуска виндоус жрет 1гб оперативки и 50% мощности процессора, из за чего он жутко лагает. Приходится оффать svchost через диспетчер.
В том и беда - отладчик не дают запускать программы, а исправить это не выходит - троян, видимо, права на некоторые ветки реестра отобрал.
А Вы ещё и скрипт не так, как я просил выполнили, обычным образом:--------------------------------------------------------
regt 35
--------------------------------------------------------
Очистка ключей Image File Execution Options
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
Удалено ключей реестра 0 из 13Если бы запускали через script.cmd, UVS стартовал от имени системы, и, возможно, почистил бы реестр.uVS запущен под пользователем: Admin-PC\Admin
Выполните как я писал выше такой скрипт:Перезагрузки не будет, приложите свежий лог выполнения скрипта. И антивирус на время выключите.Код:;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c regt 35
WBR,
Vadim
cwindows system32 config systemprofile desktop ссылается на недоступное расположение
Мдя
Скачайте Windows Repair (All In One), распакуйте, запустите, закладка "Repairs", "Open Repairs", отметьте пункт 1 Reset Registry Permissions и нажмите "Start Repairs".
После перезагрузки пробуйте выполнить в UVS скрипт из сообщения #13, лог выполнения приложите.
WBR,
Vadim
Не выходит, несколько раз пробовал, даже под учеткой Администратора хоть как не дает разрешения на запись.
Попробуйте пока из безопасного режима выполнить, но, видимо, придётся врукопашную бороть. Как - позже отпишусь.
WBR,
Vadim
Вот в безопасном получилось удалить, но программы все равно не запускаются(regedit, avz, ccleaner и д.р).
Интересно... NOD32 что ли, блокировал...
Переименованные запускаются?
WBR,
Vadim
Да, переименованные запускаются, если бы не запускались я бы сразу винду снес