Недавно заметил что система блокирует запуск regedit, ccleaner и др программы. AVZ сказал что это отладчик системного процесса svhost.exe
Printable View
Недавно заметил что система блокирует запуск regedit, ccleaner и др программы. AVZ сказал что это отладчик системного процесса svhost.exe
Уважаемый(ая) [B]Gitzzz[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DeleteService('TS888x64');
DeleteService('QMUdisk');
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог HijackThis.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL].
Как просили.
Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования уберите галочки на вкладках [B]Папки[/B] (Folders) и [B]Реестр[/B] (Registry) со всех пунктов, где упоминаются MediaGet [B]если используете эту программу[/B].
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
логи
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-568097871-479763017-1109998445-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=profitraf3
FF Plugin HKU\S-1-5-21-568097871-479763017-1109998445-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
OPR StartupUrls: "hxxp://www.yandex.ru/?win=153&clid=2180933",
"hxxp://2knl.org/?src=hp4&subid1=feb",
"hxxp://2knl.org/?src=hp4&subid1=feb"
OPR Extension: (Быстрый поиск) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-02]
S3 WINIO; \??\D:\IQIYI Video\LStyle\winio.sys [X]
2015-06-05 23:36 - 2015-06-06 00:19 - 00000000 ____D C:\ProgramData\boost_interprocess
Task: {1E1612B5-31AA-49C1-B063-5D9D485C5A14} - \Steam-S-1-8-22-9865GUI No Task File <==== ATTENTION
Task: {C5A19CE2-5A3B-4544-8B3E-CA6D99F0ED2E} - System32\Tasks\Soft installer => C:\Users\Admin\AppData\Local\IObit installer\iobitdownloader_installcube.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Все сделал.
Хм...
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
вот
Отключите до перезагрузки антивирус, скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
regt 35
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\IOBIT INSTALLER\IOBITDOWNLOADER_INSTALLCUBE.EXE
delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
deltmp
restart[/CODE]
Закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Вот лог
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Кстати, вирус не дает править разделы в реестре, я думал переименовать файл regedit.exe в Gegedit.exe, вирус запретил, сказал что отказано в доступе
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
И еще svchost после запуска виндоус жрет 1гб оперативки и 50% мощности процессора, из за чего он жутко лагает. Приходится оффать svchost через диспетчер.
В том и беда - отладчик не дают запускать программы, а исправить это не выходит - троян, видимо, права на некоторые ветки реестра отобрал.
[QUOTE]--------------------------------------------------------
regt 35
--------------------------------------------------------
Очистка ключей Image File Execution Options
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
(!) Не удалось удалить значение в ключе реестра [Отказано в доступе. ]
Удалено ключей реестра 0 из 13[/QUOTE]
А Вы ещё и скрипт не так, как я просил выполнили, обычным образом:[QUOTE]uVS запущен под пользователем: Admin-PC\Admin[/QUOTE]
Если бы запускали через script.cmd, UVS стартовал от имени системы, и, возможно, почистил бы реестр.
Выполните как я писал выше такой скрипт:[CODE];uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
regt 35[/CODE]Перезагрузки не будет, приложите свежий лог выполнения скрипта. И антивирус на время выключите.
cwindows system32 config systemprofile desktop ссылается на недоступное расположение
Мдя :O
Скачайте [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите, закладка "Repairs", "Open Repairs", отметьте пункт [B]1 Reset Registry Permissions[/B] и нажмите "[B]Start Repairs[/B]".
После перезагрузки пробуйте выполнить в UVS скрипт из сообщения #13, лог выполнения приложите.
Не выходит, несколько раз пробовал, даже под учеткой Администратора хоть как не дает разрешения на запись.
Попробуйте пока из безопасного режима выполнить, но, видимо, придётся врукопашную бороть. Как - позже отпишусь.
Вот в безопасном получилось удалить, но программы все равно не запускаются(regedit, avz, ccleaner и д.р).
Интересно... NOD32 что ли, блокировал...
Переименованные запускаются?
Да, переименованные запускаются, если бы не запускались я бы сразу винду снес