Junior Member
Вес репутации
49
компьютер зависает при старте антивируса
стоял антивирус AVG.
в последнее время началось неадекватное поведение системы. вылазили сообщения о завершении работы через 50 сек. сегодня был подхвачен очередной вымогатель. успешно удален, но начались зависания компьютера при старте антивируса, что AVG, что NOD32.
сейчас удалил все антивирусы через безопасный режим, работаю без них.
компьютер не виснет.
прошу вашей помощи
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('1b725eb410ab27ed');
DeleteService('343dc9e5534a96e8');
DeleteService('38a373f352af9bbc');
DeleteService('3ed3c55425745a96');
DeleteService('46f5a7b3c2660b60');
DeleteService('503f81b2e3b34af8');
DeleteService('50e55ce862b0e9e9');
DeleteService('55409e5586695878');
DeleteService('7c0cad70a19d9650');
DeleteService('8ed6f3b03128d173');
DeleteService('98d7f90f099683e6');
DeleteService('993082fa45840cc1');
DeleteService('9c3cc2f76c6f456e');
DeleteService('a3312fead87abc4e');
DeleteService('a8ae76c533360b63');
DeleteService('c84ccbc1a9e9ba98');
DeleteService('ba6320539303148d');
QuarantineFile('C:\WINDOWS\TEMP\152006f432df4','');
QuarantineFile('C:\WINDOWS\TEMP\15160548696e6','');
DeleteService('dba23d71ca5668d5');
DeleteService('f013b6125af6b3fe');
DeleteService('fa1c4c5d7f83fa30');
QuarantineFile('C:\WINDOWS\TEMP\15120e1fd1102','');
QuarantineFile('C:\WINDOWS\TEMP\193203a57423c','');
QuarantineFile('C:\WINDOWS\TEMP\151201ee0f514','');
DeleteService('MRxNet');
DeleteService('MRxCls');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
BC_DeleteSvc('MRxCls');
BC_DeleteSvc('MRxNet');
DeleteFile('C:\WINDOWS\TEMP\151201ee0f514');
DeleteFile('C:\WINDOWS\TEMP\193203a57423c');
DeleteFile('C:\WINDOWS\TEMP\15120e1fd1102');
BC_DeleteSvc('fa1c4c5d7f83fa30');
BC_DeleteSvc('f013b6125af6b3fe');
BC_DeleteSvc('dba23d71ca5668d5');
DeleteFile('C:\WINDOWS\TEMP\15160548696e6');
DeleteFile('C:\WINDOWS\TEMP\152006f432df4');
BC_DeleteSvc('ba6320539303148d');
BC_DeleteSvc('c84ccbc1a9e9ba98');
DeleteFile('C:\WINDOWS\TEMP\193201e712a74');
DeleteFile('C:\WINDOWS\TEMP\1932034ff70a4');
DeleteFile('C:\WINDOWS\TEMP\15600ff4737f0');
DeleteFile('C:\WINDOWS\TEMP\19320dc428674');
DeleteFile('C:\WINDOWS\TEMP\151207d3a34f8');
DeleteFile('C:\WINDOWS\TEMP\15120721f631a');
DeleteFile('C:\WINDOWS\TEMP\193208ca95634');
DeleteFile('C:\WINDOWS\TEMP\1932069b4ddc6');
DeleteFile('C:\WINDOWS\TEMP\151204856cfd6');
DeleteFile('C:\WINDOWS\TEMP\15120447a5020');
DeleteFile('C:\WINDOWS\TEMP\193607d5a2474');
DeleteFile('C:\WINDOWS\TEMP\193604b16eca4');
DeleteFile('C:\WINDOWS\TEMP\15120458113a');
DeleteFile('C:\WINDOWS\TEMP\19400467e3a28');
DeleteFile('C:\WINDOWS\TEMP\19320961f620');
BC_DeleteSvc('a8ae76c533360b63');
BC_DeleteSvc('a3312fead87abc4e');
BC_DeleteSvc('9c3cc2f76c6f456e');
BC_DeleteSvc('993082fa45840cc1');
BC_DeleteSvc('98d7f90f099683e6');
BC_DeleteSvc('8ed6f3b03128d173');
BC_DeleteSvc('7c0cad70a19d9650');
BC_DeleteSvc('55409e5586695878');
BC_DeleteSvc('50e55ce862b0e9e9');
BC_DeleteSvc('503f81b2e3b34af8');
BC_DeleteSvc('46f5a7b3c2660b60');
BC_DeleteSvc('3ed3c55425745a96');
BC_DeleteSvc('38a373f352af9bbc');
BC_DeleteSvc('343dc9e5534a96e8');
BC_DeleteSvc('1b725eb410ab27ed');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
Junior Member
Вес репутации
49
Olejah ,
выполнил скрипт AVZ, но не могу прислать карантин, пишет
Ошибка загрузки. Данный файл уже был загружен
но судя по размеру архива в 26 байт - там ничего нет.
при сканировании системы Gmer ом, происходит зависание,
вот что удалось увидеть
GMER 1.0.15.15530 -
http://www.gmer.net
Rootkit quick scan 2011-01-13 13:01:36
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.BBFO
Running: gmer.exe; Driver: c:\Temp\uwtdypod.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A31A010
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp 88F97160
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xjmzc <-- ROOTKIT !!!
Service (*** hidden *** ) [BOOT] xoaikq <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
сделал лог Гмера из-под защищенного режима - в нем нет зависаний
лог прикрепил.
что скажите?
Вложения
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
gmer.exe -del service xjmzc
gmer.exe -del service xoaikq
gmer.exe -del file "C:\WINDOWS\system32\yvdwjkui.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xjmzc"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xoaikq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xjmzc"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xoaikq"
gmer.exe -reboot
Сделайте новый лог gmer.
Junior Member
Вес репутации
49
все сделал. компьютер уже работает стабильно пол дня. установил NOD32.
Гмер все равно вылетает при сканировании...
спасибо
- Сделайте повторный лог virusinfo_syscheck.zip ;