Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Множество вирусов, уменьшение места на диске, проблемы с доступом, торможение системы (http://forum.oszone.net/showthread.php?t=324481)

windshifter@vk 05-03-2017 10:26 2716817
Множество вирусов, уменьшение места на диске, проблемы с доступом, торможение системы
 
Здравствуйте. История уже довольно долгая.

Macbook Air '13
Windows 7 SP1 Максимальная (Boot Camp)
Сборка 7601 - нелицензионная, узнала недавно)
Разрядность x64

Очень прошу помощи специалиста. Уже обращалась на другой форум, где не помогли. В особенности мешают: уменьшение места на диске и тормоза, куча ошибок системы. Много делала сканов системы антивирусами, постоянно находится что-то новое. В том числе полноценно повторно просканировала Dr. Web Curelt! и сделала скан HiJackThis. Я приложу логи HJT пока что, взгляните пожалуйста, не знаю какие нужно сделать. Напишите что да как, а то я без понятия.

1). Заметила, что в общем доступе все основные папки, в том числе ICP ($ICP) расшаренные. Также шара - С, Users, Print и т.д.
2) Через WinDirStat увидела, что неизвестные пользователи (s-1-....) - владельцы некоторых папок это названия нескольких вложенных корзин в $RECYCLEBIN, которые не удаляются (потом восстанавливаются), был случай - корзина не заполнялась, обычные файлы видимо куда-то мимо улетали.
3) В списке процессов присутствует svchost.exe из папки С:\Windows\erdnt (cashe 64/86), который грузит систему.
4) В логах HJT множество файлов из системной папки утеряно (скорее всего подменены).
5) Появились проблемы с загрузкой (не отображается выбор безопасного режима), еще до этого были проблемы с драйверами. В итоге, пыталась восстановить загрузочные файлы системы (не помню название программы), скачала пакет BootCamp (с оф. сайта Apple) - восстановила полностью и также обновила (установила) все драйверы, хоть проблемы с драйверами ушли (раньше было постоянно: ошибка инициализации 39, и понятное дело - ничего не обновлялось), проверяла ComboFix, во время переустановки установились несколько обновлений Windows Defender... И самое печальное, оказалось у меня нелицензионная Винда. ЭТО ПЕЧАЛЬ. Устанавливали специалисты в известном центре, но видимо - "специалисты". Но не суть, скачаю архиватор, не в этом проблема, а в вирусне))

Было несколько скрытых папок на флешке, весомые файлы .bin в разных папках пользателя, после восстановлений - кроме драйверов, обновилась панель управления, добавились службы, и системные приложения. Много новых папок на диске C, причем либо они скрытые, либо со значками ярлыка. Ни к какой из них у меня нет доступа. В настройках сети были установлены не мои разрешения с удаленным доступом. Еще странный момент: появилась на диске C скрытая папка Documents and Settings, и как я знаю, на 7ке её не должно быть.

Проверяла оба раздела жесткого диска и флешку.

Спасибо.

iskander-k 05-03-2017 17:42 2716968
ПРИВЕТ . Сделайте логи по правилам. http://forum.oszone.net/thread-98169.html

windshifter@vk 06-03-2017 22:30 2717282
Вложений: 1
Здравствуйте, спасибо.

Возможно это файловое заражение, но логи сделать не могу, т.к. нет дисковода.)

Sandor 07-03-2017 09:45 2717350
Здравствуйте!

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

2.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.


3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

windshifter@vk 07-03-2017 17:03 2717450
Сделала, прикрепляю. Извините, не могу, два остальные превышают допустимый размер. Тогда может мне иначе выложить, через Google Drive например?

Sandor 07-03-2017 22:19 2717518
Упакуйте архиватором и прикрепите.

windshifter@vk 07-03-2017 22:37 2717520
Вот.)

Sandor 08-03-2017 20:35 2717714
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
AlternateDataStreams: C:\Windows\Logs:Defender.log [0]
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
AlternateDataStreams: C:\Windows\system32\msln.exe:10e9d6ee7942bf1be131a72e40cd7b9c [430]
AlternateDataStreams: C:\Windows\SysWOW64\GameMon.des:gcdigest0 [82]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

windshifter@vk 09-03-2017 11:03 2717823
Вложений: 1
Сделала)

Sandor 09-03-2017 11:11 2717824
Какие проблемы сейчас остались?

windshifter@vk 09-03-2017 11:52 2717836
В общем-то, в планировщике заданий ошибка, которая после вируса появилась. Выбранная задача "{0}" больше не существует. Чтобы просмотреть текущие задания, нажмите "Обновить". Ну и после "Обновить" она всё равно высвечивается.

И еще меня волнует, что при подключении каждого нового носителя создаются 3 скрытые папки и файл:

.fseventsd
.Spotlight-V100
.Trashes

._.Trashes

Раньше такого не наблюдала (до вируса).

Sandor 09-03-2017 12:15 2717842
Сделайте и прикрепите лог сканирования MBAM.
Сканирование делайте с подключенной флэшкой.

windshifter@vk 09-03-2017 12:59 2717857
MBAM у меня вирусы никогда не находил) Неделю каждый день проверяла)) Сейчас пишет опять, что угроз не обнаружено. Потому могу скинуть сводку, а не лог.

Sandor 09-03-2017 13:01 2717858
Цитата:
Цитата windshifter@vk
при подключении каждого нового носителя создаются 3 скрытые папки и файл »
Где они создаются?

windshifter@vk 09-03-2017 13:22 2717866
В самом начале файловой системы. Возможно так и нужно, но я не знаю точно)

Sandor 09-03-2017 13:27 2717871
Цитата:
Цитата windshifter@vk
В самом начале файловой системы »
Пожалуйста, уточните: в корне диска C:, на Рабочем столе или где-то еще?

windshifter@vk 09-03-2017 13:39 2717880
Только на флешке. Точнее на 2х флешках и сегодня на карте MicroSD через картридер. Насчет самой системы - не знаю, по крайней мере в очевидных местах вроде рабочего стола или на диске C - не видела.

windshifter@vk 09-03-2017 14:34 2717893
Я нашла очень подозрительную вещь. Скину скриншот) ctfmon.exe находится почему-то в нескольких системных папках. На рабочий стол внимания не обращайте, это я скопировала из system32, так как языковая панель сама не запускается при загрузке системы.

windshifter@vk 09-03-2017 14:37 2717894
Вложений: 1
Вот, у меня не редактятся сообщения. Кстати, тот, что в windows32 и половина остальных весит 9,5 Кб, а вот другая половина - 8,5 Кб(

Sandor 09-03-2017 15:11 2717900
Цитата:
Цитата windshifter@vk
Точнее на 2х флешках »
Значит они - проблемные.

Цитата:
Цитата windshifter@vk
языковая панель сама не запускается »
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe', GetEnvironmentVariable('WinDir')+'\system32\ctfmon.exe');
RebootWindows(false);
end.
Компьютер перезагрузится.

Сообщите результат.

windshifter@vk 09-03-2017 17:30 2717938
По сути все так же, к сожалению. Планировщик ту же ошибку высвечивает. С доступом проблемы. По поиску тоже, всего приложений ctfmon.exe - 8 штук, 2 - на рабочем столе (копии), 1 в Windows 32. Одно расположено в SysWOW64, другие 2 в папке erndt (С/Windows/erdnt/cache86 /64) и далее. Скажите, так вообще должно быть?

Может мне вообще удалить все это и найти копию здорового файла, потом кинуть в Windows 32?

Sandor 10-03-2017 09:48 2718103
По нашей части - больше ничего плохого.
Попробуйте обратиться в системный раздел форума.

Цитата:
Цитата windshifter@vk
Планировщик ту же ошибку высвечивает »
Скорее всего это результат манипуляций с какими-нибудь "улучшателями" или "ускорятелями".

windshifter@vk 10-03-2017 10:17 2718112
Раз все хорошо и ctfmon.exe соответствует нормам, спасибо большое.) Сейчас думаю - переустановлю систему на Windows 10, просто нужно перекинуть файлы, а с вирусами как-то не хочется. Спасибо ещё раз!)


Время: 22:39.

Время: 22:39.
© OSzone.net 2001-