Отладчик процесса блокирует запуск программ

[OEG]

При загрузке системы не выполняется загрузка антивируса (Avira Antivir)..
Также блокируется запуск других программ, например, редактор реестра.. в том числе AVZ и HijackThis..
после переименования исполнительных файлов, (_avz.exe) AVZ выдал такие строки:
Опасно - отладчик процесса "a2service.exe" = "ntsd -d"
Опасно - отладчик процесса "ArcaCheck.exe" = "ntsd -d"
Опасно - отладчик процесса "arcavir.exe" = "ntsd -d"
и так далее..

после выполнения скрипта "9. Удаление отладчиков системных процессов" программы разблокируются.. но только до следующей перезагрузки..
антивирусный поиск ничего не показал..
поиск по реестру ntsd -d тоже ничего не дал..
там появляется раздел:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
со списком блокируемых процессов.. при перезагрузке появляется снова..

по Вашей инструкции проведена проверка системы (ессно HijackThis тоже переименовывался)..

огромная просьба помочь, так как переустанавливать систему нет пока возможности (стоит клиент-банк)..

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\amupdsvcl.exe','');
 DeleteFile('C:\WINDOWS\system32\amupdsvcl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ERSvcLogWatch');
 BC_DeleteSvc('Osedduac');
 BC_DeleteSvc('nicsk32');
 BC_DeleteSvc('MEMSWEEP2');
 BC_DeleteSvc('fips32cup');
 BC_DeleteSvc('amd64si');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=46551).
Сделайте новые логи.

[OEG]

amupdsvcl.exe - вообще-то файл авторизации и шифрования системы клиент-банк (Амикон)..
но после его удаления антивирус запустился.. и regedit разблокировался..
карантин послан..

[PavelA]

Этот файл- Backdoor.Win32.Inject.apu - по Касперскому

[OEG]

посылаю логи после выполнения скрипта..
кстати, это вирус меня запутал.. добавил одну букву "L" в конце названия.. а служба "amupdsvc" в логах присутствует.. без последней буквы "L"
блокировки программ нет.. и раздел в реестре не создается..

[Bratez]

Вот это можно пофиксить:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

И вот это желательно выполнить:
http://virusinfo.info/showthread.php?t=43700.

В остальном все чисто.

[OEG]

запуск dumprep HijackThis пофиксил..
в реестре действительно стояло значение %fystemroot% .. поправил.. пусть будет все правильно..
Спасибо за помощь !

[OEG]

Еще раз огромное спасибо за Вашу поддержку и помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\amupdsvcl.exe - Backdoor.Win32.Inject.apu ( DrWEB: BackDoor.IRC.Nite.18 )