заблокированы файлы EXE

[Viktor3954135]

не запускаются программы, зависает через 2 секунды и ни клавиатура ни мышь не вызов диспетчера не реагирует только с кнопки выключить

 

подскажите что можно предпринять

CollectionLog-2016.10.31-05.27.zip

Изменено 31 октября, 2016 пользователем Viktor3954135

[SQ]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('UbarCalloutDriver');
 DeleteService('UbarCalloutDriver');
 QuarantineFile('C:\Users\DIC\AppData\Local\ComDev\ComDev.exe','');
 QuarantineFile('C:\Users\viktor\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys','');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 DeleteFile('C:\Users\viktor\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\DIC\AppData\Local\ComDev\ComDev.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "ComDev" /F', 0, 15000, true);  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Viktor3954135]

Пришел такой ответ...

 

[KLAN-5264792182]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

 

Как архив еще раз в архив незнаю...

AdwCleanerS0.txt

Изменено 31 октября, 2016 пользователем Viktor3954135

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Viktor3954135]

но это видимо не все еще??? AVZ выполняя стандартные скрипты лечения и сбора зависает во время прямого чтения в самом конце

AdwCleanerS4.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Viktor3954135]

вот сделал exe так и не запускаются комп виснет... гад... работать надо а он......

Addition.txt

[SQ]

вот сделал exe так и не запускаются комп виснет... гад... работать надо а он......

Нехватает  лога FRST.txt

[Viktor3954135]

а первый раз он его не делал

 

 

Addition.txt

FRST.txt

[SQ]

Сами настраивали ограничения в локальной групповой политике?

GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> gosearch
  CHR Extension: (No Name) - C:\Users\DIC\AppData\Local\Google\Chrome\User Data\Default\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2016-10-27]
  CHR HKLM\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - C:\Program Files\Download Master\dm_chrome.crx [2013-08-22]
  CHR HKU\S-1-5-21-2631645710-3864389595-3289671839-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gojnmemgacliifihcagijaadgpeioooa] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-2631645710-3864389595-3289671839-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\system32\WPRO_41_2001woem.tmp
  ShortcutWithArgument: C:\Users\DIC\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://fs9mail.ru/?id=5&subid=44
  ShortcutWithArgument: C:\Users\DIC\Desktop\Dis\AppData\Local\Google\Chrome\User Data\Profile 1\Web Applications\_crx_pfmakgcedhhhjnjfmidgonhffpmkchkl\Аналитика _ Прогноз курса валют _ Над.._.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://fs9mail.ru/?id=5&subid=44
  ShortcutWithArgument: C:\Users\DIC\AppData\Local\Google\Chrome\User Data\Profile 1\Web Applications\_crx_pfmakgcedhhhjnjfmidgonhffpmkchkl\Аналитика _ Прогноз курса валют _ Над.._.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://fs9mail.ru/?id=5&subid=44
  AlternateDataStreams: C:\Users\DIC\Downloads\10.2W 1MA MTF 5.12.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\DIC\Downloads\10.2W 1MA MTF 5.12.mq4:LineFlags [866]
  AlternateDataStreams: C:\Users\DIC\Downloads\ab asymmetric ema bands oscillator.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\DIC\Downloads\ab asymmetric ema bands oscillator.mq4:LineFlags [866]
  AlternateDataStreams: C:\Users\DIC\Downloads\GoodTrade3porsj_porsj.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\DIC\Downloads\GoodTrade3porsj_porsj.mq4:LineFlags [866]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Проверьте целостность системных файлов, если Windows у Вас лицензионный

C:\Windows\system32\User32.dll
[2016-09-01 11:14] - [2015-11-10 21:39] - 0811520 ____A (Microsoft Corporation) 8626F0C30D4E3564FFDD25C90F4426F1

Уточните пожалуйста, проблема появилась после установки стороннего антивируса (Avast)?

[Viktor3954135]

да мог намудрить....

 

 

НЕТ аваст давно стоит года два уж

вот про целостность системы

 

https://gyazo.com/aba4aeb5aef46e5fa82f0b2cb0e4c0e5

Fixlog.txt

[SQ]

Пробуйте восстановить ассоциацию *.exe файлов, на значения по умолчанию Default_exe.zip

[Viktor3954135]

Не помогает....

 

подключил новый хард, не с CD ни с Диска не ставится win7

 

какая гадость так могет, запускаю переустановку виснет....

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[Viktor3954135]

вот вроде так

DIC-ПК_2016-10-31_14-47-24.7z

DIC-ПК_2016-10-31_14-57-18.7z