Здравствуйте!При работе компьютера примерно на 50% загружена оперативная память,при этом ни одна программа не запущена.Через несколько секунд после запуска AVZ возникает на мгновение синий экран и компьютер перезагружается.
Printable View
Здравствуйте!При работе компьютера примерно на 50% загружена оперативная память,при этом ни одна программа не запущена.Через несколько секунд после запуска AVZ возникает на мгновение синий экран и компьютер перезагружается.
Уважаемый(ая) [B]tarum[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
А как именно Вы AVZ запускали, AVZPM не включали, случаем? Через Autologger он нормально отработал.
Удалите программу Ticno multibar.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
StopService('screentk');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe', '');
QuarantineFile('C:\Windows\screentk.sys', '');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe', '32');
DeleteFile('C:\Users\Nata\Favorites\Conduit Search.url"');
DeleteFile('C:\Users\Nata\Favorites\Links\Ask.url');
DeleteFile('C:\Windows\screentk.sys', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update for Ask Toolbar" /F', 0, 15000, true);
DeleteService('qutmipc');
DeleteService('screentk');
DeleteService('TicnoSearch');
DeleteFileMask('c:\program files\ask.com', '*', true);
DeleteDirectory('c:\program files\ask.com');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('screentk');
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
AVZ я запускал и с включенным AVZPM,и с выключенным.Результаты ничем не отличаются.
Ticno multibar удалил.
После выполнения скрипта в AVZ,в папке AVZ архив quarantine.zip не появился,пробовал дважды.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Лог AdwCleaner
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Вряд ли это связано - вчера сгорел блок питания.
Microsoft Security Essentials отключайте на время выполнения скриптов и сбора логов, блокирует, похоже.
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
MSE постоянно отключаю на время сканирования.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [mrupdsrv] => "C:\Windows\system32\config\systemprofile\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
BHO: Radio W Toolbar -> {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -> C:\Program Files\Radio_W\prxtbRad0.dll [2011-05-09] (Conduit Ltd.)
C:\Program Files\Radio_W
CHR HKLM\...\Chrome\Extension: [aaaaplmcbjhigpfkmaffahlojgchbgfk] - C:\Users\Nata\AppData\Local\APN\GoogleCRXs\aaaaplmcbjhigpfkmaffahlojgchbgfk_7.17.2.0.crx <not found>
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
R1 screentk; C:\Windows\screentk.sys [42144 2014-08-04] (Windows (R) Win 7 DDK provider)
S3 ute5njmz; C:\Windows\system32\Drivers\ute5njmz.sys [7168 2018-03-28] () [File not signed]
U3 aswbdisk; no ImagePath
S1 MpKsl198603ed; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5FB1C905-AFC8-40EE-9082-2F84D299AB3E}\MpKsl198603ed.sys [X]
S3 netr28u; system32\DRIVERS\netr28u.sys [X]
S1 qutmipc; \??\C:\Windows\system32\drivers\qutmipc.sys [X]
2018-03-28 16:40 - 2018-03-28 16:59 - 000007168 _____ C:\Windows\system32\Drivers\ute5njmz.sys
ZIP: C:\Windows\Minidump\032818-15740-01.dmp; C:\Windows\Minidump\032818-15927-01.dmp
2017-11-16 10:49 - 2017-11-16 10:49 - 000000000 _____ () C:\Users\Миша\AppData\Local\{F0EBFDA8-D437-414A-A8EF-C610FEFC02BE}
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
Всё сделал.
[url]https://yadi.sk/d/6Jq0gOMI3TtqSk[/url]
Что с проблемой?
Дампы посмотрю вечером.
Загрузка оперативки снизилась до 32%.
AVZ запустил несколько раз с разными настройками.
Синий экран возникает при включении пункта Блокировать работу Rootkit Kernel-Mode.
AVZ использую много лет,всегда включаю все опции из раздела Параметры поиска.
Не надо пытаться использовать AVZ как антируткит, он для этого не предназначен. С настройками по умолчанию он работает нормально.
Спасибо вам огромное!
Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].