Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Система блокирует запуск отдельных исполнительных файлов (http://forum.oszone.net/showthread.php?t=331050)

obtim 07-11-2017 17:02 2775967
Система блокирует запуск отдельных исполнительных файлов
 
Система Win 7 x64 Pro со всеми обновлениями, без антивируса. Система блокирует запуск отдельных исполнительных файлов. Пробовал собирать информацию через Autologger(с вирусинформ) - не стартанул.

Запустил полиморфный AVZ и создал такой отчет. Сделал доп. сканирование UVS. Кого и чем лечить?

akok 08-11-2017 00:08 2776071
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE\SVCHOST.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE\SVCHOST.EXE
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
    ; %SystemRoot%\SYSWOW64\SETH.EXE
    bl F99DB946CC16A96AE4317076325576B8 41984
    zoo %SystemRoot%\SYSWOW64\SETH.EXE
    delall %SystemRoot%\SYSWOW64\SETH.EXE
    ; %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
    bl E49786F0BDD833763B57C447D1379335 57344
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
    regt 18
    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

obtim 08-11-2017 23:01 2776252
akok, результаты работы Farbar Recovery Scan Tool

akok 08-11-2017 23:26 2776259
Система корпоративная? А то юзеров многовато user1-5. Я сбрасываю политики, пожалуйста убедитесь, что работает система восстановления и сделаны актуальные бекапы.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:C:\Windows\system32\xp3215ci.exe; C:\Windows\system32\sxa6mci.exe; C:\Windows\system32\sxa6mci.dll;
    HKLM\...\Policies\Explorer: [DisallowRun] 0
    HKLM\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-21-3477204938-2020826285-3527804023-1000\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-21-3477204938-2020826285-3527804023-1000\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
    ShortcutTarget: Punto Switcher.lnk -> C:\Users\123\AppData\Roaming\Punto\lsass.exe (No File)
    C:\Users\123\AppData\Roaming\Punto\lsass.exe
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    Task: {05C5899C-F1B2-4C97-BAEC-4CE2B0026DEE} - \Adobe Reader -> No File <==== ATTENTION
    Task: {18C61178-1218-4F59-947E-D167759611BE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Task: {3D43DD9F-0B47-4EDC-98A3-5D42266124F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {4A45AFD5-EC33-4C5B-B4E7-C90D47615AF5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
    Task: {54B6ED93-D515-47AC-83DA-31347F5E6A00} - \GoogleUpdateTask -> No File <==== ATTENTION
    Task: {5693843D-19BD-4081-9559-28D9234CF9C4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {70EC8A73-252A-4DAB-84AB-F9C6147883F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {85329D3E-8C33-4783-A836-5D346606A22B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {8945B0BD-CFB9-4850-9C2C-9B3695DABD98} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {8BAFC4CD-C222-4DDB-8ED5-402DDD5E7B01} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
    Task: {BB14EEA6-6626-49F4-9205-C7593E79B9AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {FB1BC5AF-011D-45D4-8927-0806972327F8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:259 [0]
    AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9371 [0]
    AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:94 [0]
    AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9412 [0]
    AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9510 [0]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Время: 18:16.

Время: 18:16.
© OSzone.net 2001-