Система не дает выполнить проверку на вирусы ни одной из утилит

[medik83]

Здравствуйте.
Есть машина без видимой симптоматики (правда работаю на ней не сам, поэтому не уверен, но на первый взгляд не нахожу ничего криминального), так вот при попытке проверки НОДом на вирусы, он издает звук из спикера, и вырубается. После этого его приходится врубать руками заново, он загружается как ни в чем не бывало, без всяких сообщений из системы. Аналогичная ситуация происходит при загрузке системы в безопасном режиме и работе всех из предложенных вами утилит. Правда AVZ оставляет вирусную папочку viruscure.zip, остальные папки не сохраняются. Вечный вопрос, Что делать?

[Rene-gad]

Скачайте special avz по ссылке в подписи и попробуйте сделать логи им. virusinfo_cure.zip закачайте тут: http://virusinfo.info/upload_virus.php?tid=50747

[medik83]

качаю.
вот еще сделал логи

[V_Bond]

сохраните содержимое в блокноте как 1.bat , в папке со gmer запустите , сделайте комплект логов

Код:

gmer.exe -del service cmondhb
gmer.exe -del service hwjywbc
gmer.exe -del service iqetze
gmer.exe -del service jklcn
gmer.exe -del service kwkxg
gmer.exe -del service liyjawk
gmer.exe -del service mdmzta
gmer.exe -del service pzagnhorb
gmer.exe -del service qagnst
gmer.exe -del service qwlmdp
gmer.exe -del service scpedrtrn
gmer.exe -del service sdtadrjig
gmer.exe -del service sesyeuwhm
gmer.exe -del service slclrwmw
gmer.exe -del service xdkvhywtk
gmer.exe -del file " C:\WINDOWS\system32\oepdnwbc.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cmondhb"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hwjywbc"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iqetze"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jklcn"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kwkxg"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\liyjawk"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mdmzta" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pzagnhorb" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qagnst" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qwlmdp" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\scpedrtrn" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sdtadrjig" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sesyeuwhm" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\slclrwmw" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xdkvhywtk" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mdmzta" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mdmzta"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\cmondhb"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\hwjywbc"                                                                                                                    
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\iqetze"                                                                                                                        
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\jklcn"                                                                                                                             
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\kwkxg"                                                                                                                            
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\liyjawk"                                                                                                                
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\mdmzta" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\pzagnhorb" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\qagnst" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\qwlmdp" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\scpedrtrn" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\sdtadrjig" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\sesyeuwhm" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\slclrwmw" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\xdkvhywtk" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\mdmzta" 
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\mdmzta"        
gmer -reboot

[medik83]

Выполнил тестирование системы в AVZ (не special), прошло отчего не пойму логи в аттаче. virusinfo_cure.zip- отправляю (канал слабоват)

[V_Bond]

батник запускался ?
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('7890g421-b1gf-14d0-89bb-0090ce808e85');
 QuarantineFile('C:\WINDOWS\system32\System64.exe','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ehdrv.sys');
 DeleteService('Providesv1.2');
 QuarantineFile('C:\WINDOWS\system32\TTPloyer.exe','');
 DeleteService('smssv.exe');
 QuarantineFile('C:\WINDOWS\system32\smssv.exe','');
 QuarantineFile('C:\WINDOWS\system32\KiVIR.exe','');
 DeleteService('KingDuuBa A');
 DeleteService('fdfgos Service');
 QuarantineFile('C:\WINDOWS\system32\i\J001.exe','');
 DeleteFile('C:\WINDOWS\system32\i\J001.exe');
 DeleteFile('C:\WINDOWS\system32\KiVIR.exe');
 DeleteFile('C:\WINDOWS\system32\smssv.exe');
 DeleteFile('C:\WINDOWS\system32\TTPloyer.exe');
 DeleteFile('C:\WINDOWS\system32\System64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[medik83]

Аттач который выше бал до выполнения батника.Батник запустился - комп в ребут. Карантин отправил. Провел сканирование Gmer еще раз (аттач). В обычном режиме попытался поработать AVZ, комп опять вырубило. В безопасном выполнил скрипт сбора/лечения, а вот при выполнении скрипта сбора информации, комп опять вырубило, причем выполнял это special AVZ.

Выполнил скрипт сбора информации в безопасном режиме ( стандартной утилитой AVZ), добавляю.special AVZ никак не получается выполнить -вырубает комп.

[Rene-gad]

AVZ никак не получается выполнить -вырубает комп.

Если Вы не можете выполнить логи AVz в нормальном режиме, то не делайте логов вообще.
Когда система вылетает, появляется синий экран? Что на нём написано? Если нет - активируйте БСОД (см. ссылку в подписи) и после крэша - сфотографируйте или спишите инфу с БСОД.

[medik83]

Комп просто вырубает, без всяких BSOD. раздается BEEP BIOS причем звуки не просто короткие - длинные, а как при подключении dial-up модема.мне вызывать BSOD - все равно?

[Rene-gad]

.мне вызывать BSOD - все равно?

Вызывать как написано в статье не надо. Активируйте его и попытайтесь выполнить действие, которое ведёт к выпадению системы - напр. выполнение одного из стандартных скриптов АВЗ.

[medik83]

Вызывать как написано в статье не надо. Активируйте его и попытайтесь выполнить действие, которое ведёт к выпадению системы - напр. выполнение одного из стандартных скриптов АВЗ.

Активировано. Синий экран выдало. Перезагрузился запустил скрипт сбора/лечения - комп опять вырубило (просто выключило без всяких сообщений от системы).

[Rene-gad]

Синий экран выдало.

Так а что было на нём написано?

[medik83]

Так а что было на нём написано?

стандартная билибирда сверху (если надо напишу)
Technical information: Stop: 0x000000EZ (0x00000000,0x00000000,0x00000000,0x00000000).
Begin dump of physical memory. Physical memory dump complete.
Contact your system administrator ........

[Rene-gad]

стандартная билибирда сверху (если надо напишу)

Это не белиберда, а информация. Нужно сфотографировать или в точности записать всё.

[medik83]

Это не белиберда, а информация. Нужно сфотографировать или в точности записать всё.

в точности как и тут

[Rene-gad]

Этот скрин получается, если Вы ВЫЗЫВАЕТЕ крэш вручную. Нужен скрин после системного стопа, вызванного АВЗ.

[medik83]

Этот скрин получается, если Вы ВЫЗЫВАЕТЕ крэш вручную. Нужен скрин после системного стопа, вызванного АВЗ.

Я же вам объясняю, что после системного стопа система не ВЫДАЕТ никакой информации, а просто вырубается попищав биосом.

[Rene-gad]

Я же вам объясняю, что после системного стопа система не ВЫДАЕТ никакой информации

Это не есть хорошо. А без логов мы вообще ничего не можем сделать
GMER в нормальном режиме тоже не проходит?
Может железо барахлит? На вирус такое поведение ИМО не похоже - синий экран должен был бы быть. А вот если перегруз блока питания - то может и без синевы в осадок выпасть.

[medik83]

Это не есть хорошо. А без логов мы вообще ничего не можем сделать
GMER в нормальном режиме тоже не проходит?
Может железо барахлит? На вирус такое поведение ИМО не похоже - синий экран должен был бы быть. А вот если перегруз блока питания - то может и без синевы в осадок выпасть.

Я логи GMERa высылал уже,и после выполнения скриптов (последний в нормальном режиме). Я сомневаюсь про железо, инсталляция - деинсталляция все протекает без проблем, кроме работы любых антивирусных приложений, причем во время работы AVZ все нормально пишет "красным" в листинге (что то находит то есть я так понимаю), но как только доходит дело до сохранения лога скриптпа - происходит выключение. Что делать то. НОД удалил уже

Логи Gmer - обычный режим

[Rene-gad]

Лог гмер без подозрений.