[Drongo]

seman, Здравствуйте. Случай действительно тяжёлый. Сделайте ещё эти логи. По порядку, сначала лог SDFix потом остальные.

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

[seman]

Drongo
перед запуском всех утилит, припервой загрузке - синий экран без описания ошибок, но текст на весь экран, при перезагрузке - ок.

[Drongo]

seman, Сейчас сделаю скрипт для AVZ

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('jatmlano', 4);
 StopService('jatmlano');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\jatmlano.sys','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe','');
 QuarantineFile('C:\Documents and Settings\1\Templates\Brengkolang.com','');
 DeleteFile('C:\Documents and Settings\1\Templates\Brengkolang.com');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\jatmlano.sys');
 DeleteService('jatmlano');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(6);
 ExecuteRepair(13);
 ExecuteRepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Повторите логи и что с проблемой после выполнения скриптов?

[seman]

Drongo,
сегодня попробую.
Если не затруднит Вас не могли бы Вы проверить логи с другого компа?
на этом компе явных симптомов не видно, кроме незначительного притормаживания,
нашел kido - удален.
постоянно выплывает надпись мало виртуальной памяти. (хотя на разделе, где лежит файл подкачки, места хватает.)

[Drongo]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• Знаком ли вам файл: C:\WINDOWS\system32\AE710C\F3119F.EXE ? Если нет, то проверьте следующие файлы:

Цитата:

C:\WINDOWS\system32\AE710C\F3119F.EXE

на любом из сайтов:
1. http://www.virustotal.com/ru/
2. http://www.virscan.org/
3. http://virusscan.jotti.org/ru
Полученый результат проверки укажите в теме в ввиде ссылок. Если проверяемый файл окажется чистым, исключите из выполнения скрипта, строки выделеные красным цветом, если же окажется вирусом, исключать не нужно.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('aexfmux', 4);
 StopService('aexfmux');
 QuarantineFile('C:\WINDOWS\system32\AE710C\F3119F.EXE','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\AE710C\F3119F.EXE');
 DeleteService('aexfmux');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


После чего повторите логи HiJackThis и AVZ

[seman]

Цитата Drongo:

Знаком ли вам файл: C:\WINDOWS\system32\AE710C\F3119F.EXE »

это однозначно вирус. (он стоял в авторане) но его уже удалили антивирусники в том числе и 01.tmp

физически их уже нет на диске.

может поэтому скрипт выдал ошибку

ошибка скрипта ; позиция 14:1
ошибка скрипта ; позиция 10:1


первый скрипт тоже не сработал
ошибки те же
физически файлов этих нет

открыл autioruns

ссылки есть на запуск этих вирусов, но самих файлов нет (установлено file not found)
убрал все ссылки

однако при выполнении 2 скрипта - синий экран и через раз синий экран при загрузке.

[thyrex]

Поправлю первый скрипт и добавлю

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\AE710C\F3119F.EXE','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\AE710C\F3119F.EXE');
 DeleteService('aexfmux');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните остальное из сообщения Drongo + лог combofix сделайте еще раз

[seman]

thyrex

после выполнения скрипта - синий экран (IRQL_NOT_LESS_OR_EQUAL)
после рестарта опять он же

анализ дампа
Probably caused by : memory_corruption

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: 0047051c, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 804d483f, address which referenced memory


большие сомнения что проблема с памятью
на всякий случай сейчас запущу memtest

[Drongo]

seman, Да уж, случай действительно тяжёлый... Скрипт составлял я. Первый скрипт запустился, а при втором

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

синий экран?

С такой ошибочкой вам сюда - Устранение критических ошибок Windows -> IRQL_NOT_LESS_OR_EQUAL.