Здравствуйте!При работе компьютера примерно на 50% загружена оперативная память,при этом ни одна программа не запущена.Через несколько секунд после запуска AVZ возникает на мгновение синий экран и компьютер перезагружается.
Синий экран
Здравствуйте!При работе компьютера примерно на 50% загружена оперативная память,при этом ни одна программа не запущена.Через несколько секунд после запуска AVZ возникает на мгновение синий экран и компьютер перезагружается.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) tarum, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
А как именно Вы AVZ запускали, AVZPM не включали, случаем? Через Autologger он нормально отработал.
Удалите программу Ticno multibar.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); StopService('screentk'); QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe', ''); QuarantineFile('C:\Windows\screentk.sys', ''); DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe', '32'); DeleteFile('C:\Users\Nata\Favorites\Conduit Search.url"'); DeleteFile('C:\Users\Nata\Favorites\Links\Ask.url'); DeleteFile('C:\Windows\screentk.sys', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Scheduled Update for Ask Toolbar" /F', 0, 15000, true); DeleteService('qutmipc'); DeleteService('screentk'); DeleteService('TicnoSearch'); DeleteFileMask('c:\program files\ask.com', '*', true); DeleteDirectory('c:\program files\ask.com'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('screentk'); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
AVZ я запускал и с включенным AVZPM,и с выключенным.Результаты ничем не отличаются.
Ticno multibar удалил.
После выполнения скрипта в AVZ,в папке AVZ архив quarantine.zip не появился,пробовал дважды.
- - - - -Добавлено - - - - -
Лог AdwCleaner
- - - - -Добавлено - - - - -
Вряд ли это связано - вчера сгорел блок питания.
Microsoft Security Essentials отключайте на время выполнения скриптов и сбора логов, блокирует, похоже.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
MSE постоянно отключаю на время сканирования.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-18\...\Run: [mrupdsrv] => "C:\Windows\system32\config\systemprofile\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg BHO: Radio W Toolbar -> {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -> C:\Program Files\Radio_W\prxtbRad0.dll [2011-05-09] (Conduit Ltd.) C:\Program Files\Radio_W CHR HKLM\...\Chrome\Extension: [aaaaplmcbjhigpfkmaffahlojgchbgfk] - C:\Users\Nata\AppData\Local\APN\GoogleCRXs\aaaaplmcbjhigpfkmaffahlojgchbgfk_7.17.2.0.crx <not found> CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - <no Path/update_url> CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx R1 screentk; C:\Windows\screentk.sys [42144 2014-08-04] (Windows (R) Win 7 DDK provider) S3 ute5njmz; C:\Windows\system32\Drivers\ute5njmz.sys [7168 2018-03-28] () [File not signed] U3 aswbdisk; no ImagePath S1 MpKsl198603ed; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5FB1C905-AFC8-40EE-9082-2F84D299AB3E}\MpKsl198603ed.sys [X] S3 netr28u; system32\DRIVERS\netr28u.sys [X] S1 qutmipc; \??\C:\Windows\system32\drivers\qutmipc.sys [X] 2018-03-28 16:40 - 2018-03-28 16:59 - 000007168 _____ C:\Windows\system32\Drivers\ute5njmz.sys ZIP: C:\Windows\Minidump\032818-15740-01.dmp; C:\Windows\Minidump\032818-15927-01.dmp 2017-11-16 10:49 - 2017-11-16 10:49 - 000000000 _____ () C:\Users\Миша\AppData\Local\{F0EBFDA8-D437-414A-A8EF-C610FEFC02BE} Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
WBR,
Vadim
Всё сделал.
https://yadi.sk/d/6Jq0gOMI3TtqSk
Что с проблемой?
Дампы посмотрю вечером.
WBR,
Vadim
Загрузка оперативки снизилась до 32%.
AVZ запустил несколько раз с разными настройками.
Синий экран возникает при включении пункта Блокировать работу Rootkit Kernel-Mode.
AVZ использую много лет,всегда включаю все опции из раздела Параметры поиска.
Не надо пытаться использовать AVZ как антируткит, он для этого не предназначен. С настройками по умолчанию он работает нормально.
WBR,
Vadim
Спасибо вам огромное!
Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Уважаемый(ая) tarum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
