по приходу с новогодних каникул появилась проблема на одной из машин - во время работы она зависала - пуск не откликается, новые окна не открываются, при этом можно переключаться между открытыми приложениями, свернуть их, рабочий стол откликается - иконки выделяются, но ничего нового открыть нельзя. завершение сеанса выполнялось не всегда. жутко тормозит до зависания..
поскольку планировалась замена этой машины - было куплено новое железо и установлена чистая система.
но вчера возникла та же проблема на другом компьютере. предварительные проверки ничего не выявили.

после выполнения скрипта avz, файла virusinfo_syscheck.zip в log не было..

9112, Привет. :)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\01.tmp','');
DeleteFile('c:\windows\system32\01.tmp');
DeleteService('bowxmh');
DeleteService('dbolvkumj');
DeleteService('dsqqqgfw');
DeleteService('etesgigbr');
DeleteService('ijfwesbw');
DeleteService('jllsbdk');
DeleteService('kbxef');
DeleteService('kuqrhomiw');
DeleteService('mpvfuil');
DeleteService('mriar');
DeleteService('nhfjzu');
DeleteService('okizxau');
DeleteService('onpml');
DeleteService('orioqqg');
DeleteService('pbrlft');
DeleteService('pgvyw');
DeleteService('pxgeg');
DeleteService('srjoon');
DeleteService('thrhuztfp');
DeleteService('uapykkl');
DeleteService('uybowft');
DeleteService('wmiabrd');
DeleteService('xytpoiuy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "частичное зависание компьютера". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

прикрепляю лог gmer

ответное письмо пока что не пришло.

Подготовьте новые логи AVZ и лог RSIT по правилам (http://forum.oszone.net/thread-98169.html).

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/)

прилагаю логи.

Выполните такой скрипт. После чего повторите логи авз и рсит.
• Скачайте OTM by OldTimer (http://www.virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe
C:\WINDOWS\system32\01.tmp
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4DIBCL67\uiti[1].gif

:Services
yhksu

:Files

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.