Система блокирует запуск отдельных исполнительных файлов

akok · Отправлено: **00:08, 08-11-2017** | #2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE\SVCHOST.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE\SVCHOST.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WEBISIDA.BROWSER.EXE
; %SystemRoot%\SYSWOW64\SETH.EXE
bl F99DB946CC16A96AE4317076325576B8 41984
zoo %SystemRoot%\SYSWOW64\SETH.EXE
delall %SystemRoot%\SYSWOW64\SETH.EXE
; %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
bl E49786F0BDD833763B57C447D1379335 57344
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
regt 18
deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

obtim · Отправлено: **23:01, 08-11-2017** | #3

akok, результаты работы Farbar Recovery Scan Tool

akok · Отправлено: **23:26, 08-11-2017** | #4

Система корпоративная? А то юзеров многовато user1-5. Я сбрасываю политики, пожалуйста убедитесь, что работает система восстановления и сделаны актуальные бекапы.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
VirusTotal:C:\Windows\system32\xp3215ci.exe; C:\Windows\system32\sxa6mci.exe; C:\Windows\system32\sxa6mci.dll; 
HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-3477204938-2020826285-3527804023-1000\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-21-3477204938-2020826285-3527804023-1000\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
ShortcutTarget: Punto Switcher.lnk -> C:\Users\123\AppData\Roaming\Punto\lsass.exe (No File)
C:\Users\123\AppData\Roaming\Punto\lsass.exe
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
Task: {05C5899C-F1B2-4C97-BAEC-4CE2B0026DEE} - \Adobe Reader -> No File <==== ATTENTION
Task: {18C61178-1218-4F59-947E-D167759611BE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {3D43DD9F-0B47-4EDC-98A3-5D42266124F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {4A45AFD5-EC33-4C5B-B4E7-C90D47615AF5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {54B6ED93-D515-47AC-83DA-31347F5E6A00} - \GoogleUpdateTask -> No File <==== ATTENTION
Task: {5693843D-19BD-4081-9559-28D9234CF9C4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {70EC8A73-252A-4DAB-84AB-F9C6147883F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {85329D3E-8C33-4783-A836-5D346606A22B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {8945B0BD-CFB9-4850-9C2C-9B3695DABD98} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {8BAFC4CD-C222-4DDB-8ED5-402DDD5E7B01} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {BB14EEA6-6626-49F4-9205-C7593E79B9AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {FB1BC5AF-011D-45D4-8927-0806972327F8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:259 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9371 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:94 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9412 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:9510 [0]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.