Отладчик блокирует запуск программ

[Gitzzz]

Недавно заметил что система блокирует запуск regedit, ccleaner и др программы. AVZ сказал что это отладчик системного процесса svhost.exe

[Info_bot]

Уважаемый(ая) Gitzzz, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог HijackThis.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.

[Gitzzz]

Как просили.

[Vvvyg]

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются MediaGet если используете эту программу.

Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Gitzzz]

логи

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-568097871-479763017-1109998445-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=profitraf3
FF Plugin HKU\S-1-5-21-568097871-479763017-1109998445-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
OPR StartupUrls: "hxxp://www.yandex.ru/?win=153&clid=2180933",
         "hxxp://2knl.org/?src=hp4&subid1=feb",
         "hxxp://2knl.org/?src=hp4&subid1=feb"
OPR Extension: (Быстрый поиск) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-02]
S3 WINIO; \??\D:\IQIYI Video\LStyle\winio.sys [X]
2015-06-05 23:36 - 2015-06-06 00:19 - 00000000 ____D C:\ProgramData\boost_interprocess
Task: {1E1612B5-31AA-49C1-B063-5D9D485C5A14} - \Steam-S-1-8-22-9865GUI No Task File <==== ATTENTION
Task: {C5A19CE2-5A3B-4544-8B3E-CA6D99F0ED2E} - System32\Tasks\Soft installer => C:\Users\Admin\AppData\Local\IObit installer\iobitdownloader_installcube.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Gitzzz]

Все сделал.

[Vvvyg]

Хм...
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Gitzzz]

вот

[Vvvyg]

Отключите до перезагрузки антивирус, скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
regt 35
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\IOBIT INSTALLER\IOBITDOWNLOADER_INSTALLCUBE.EXE
delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
deltmp
restart

Закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[Gitzzz]

Вот лог

- - - - -Добавлено - - - - -

Кстати, вирус не дает править разделы в реестре, я думал переименовать файл regedit.exe в Gegedit.exe, вирус запретил, сказал что отказано в доступе

- - - - -Добавлено - - - - -

И еще svchost после запуска виндоус жрет 1гб оперативки и 50% мощности процессора, из за чего он жутко лагает. Приходится оффать svchost через диспетчер.

[Vvvyg]

В том и беда - отладчик не дают запускать программы, а исправить это не выходит - троян, видимо, права на некоторые ветки реестра отобрал.

--------------------------------------------------------
regt 35
--------------------------------------------------------
Очистка ключей Image File Execution Options
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
Удалено ключей реестра 0 из 13

А Вы ещё и скрипт не так, как я просил выполнили, обычным образом:

uVS запущен под пользователем: Admin-PC\Admin

Если бы запускали через script.cmd, UVS стартовал от имени системы, и, возможно, почистил бы реестр.

Выполните как я писал выше такой скрипт:

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
regt 35

Перезагрузки не будет, приложите свежий лог выполнения скрипта. И антивирус на время выключите.

[Gitzzz]

cwindows system32 config systemprofile desktop ссылается на недоступное расположение

[Vvvyg]

Мдя

Скачайте Windows Repair (All In One), распакуйте, запустите, закладка "Repairs", "Open Repairs", отметьте пункт 1 Reset Registry Permissions и нажмите "Start Repairs".

После перезагрузки пробуйте выполнить в UVS скрипт из сообщения #13, лог выполнения приложите.

[Gitzzz]

Не выходит, несколько раз пробовал, даже под учеткой Администратора хоть как не дает разрешения на запись.

[Vvvyg]

Попробуйте пока из безопасного режима выполнить, но, видимо, придётся врукопашную бороть. Как - позже отпишусь.

[Gitzzz]

Вот в безопасном получилось удалить, но программы все равно не запускаются(regedit, avz, ccleaner и д.р).

[Vvvyg]

Интересно... NOD32 что ли, блокировал...

Переименованные запускаются?

[Gitzzz]

Да, переименованные запускаются, если бы не запускались я бы сразу винду снес