Решена Подозреваю вирусы

[oleg7]

Вчера товарищ принес ноутбук и попросил почистить.Стоял антивирус Microsoft не обновленный.Обновил,просканировал-ничего.Удалил.Mbam обновил,запустил-ничего.Запустил дефрагментатор-35% фрагментировано,20% свободного места.В карантине Mbam было три вируса-удалил.Хотел сделать логи AVZ, во время сканирования AVZ исчезает.Запустил Kasprsky live CD в текстовом режиме нашел еще вирус связанный с порно.Ноутбук работал от батареи внезапно выключился.Второй раз запустил в графическом не дало просканировать.Скачал Dr.Web Gurelt после полного сканирования вирус спутник Mайлру-удалил.Компьютер ожил.Скачал Хиджак,почистил файл Host,сделал лог,проанализировал.Теперь боюсь сам предпринимать какие либо действия-много "файл отсутствует".Подскажите,пожалуйста,дальнейшие действия.Сейчас сделаю логи AVZ.

 

[Severnyj]

Сделайте лог uVS +

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

 

[oleg7]

Сейчас Combofix сделаю.

 

[Severnyj]

Подготовьте установочный диск Windows 7 SP1 (64bit), вставьте его в дисковод и выполните следующий скрипт в uVS:

;uVS v3.71 script [http://dsrt.dyndns.org]

delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
sfcall

 

[oleg7]

Установочного диска нет.

 

[Severnyj]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Установочного диска нет.(

Придется поискать, поскольку активного заражения не видно, но видно много отсутствующих файлов - возможно было заражение файловым вирусом, а MSE все отправил в карантин или удалил.

Можно попробовать и без диска скрипт запустить, может кэш для восстановления где и сохранился.

 

[oleg7]

Cейчас выполню без диска.:mda:

 

[oleg7]

2011.11.09 10:29
2011.11.09 08:29 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v3.71: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
Свободно физической памяти 3079Mb из 4094Mb
Свободно на системном диске: 6,3GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v9.0.8112.16421
--------------------------------------------------------
Текущий пользователь: Юрий-ПК\Юрий
uVS запущен под пользователем: Юрий-ПК\Юрий
Имя компьютера: ЮРИЙ-ПК
--------------------------------------------------------
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
127.0.0.1 localhost
Всего: 1
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [E:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [E:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [F:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [F:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [232,9GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Анализ файлов в списке...
Файл не найден: C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\NTVDM.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Файл не найден: LOGON.SCR
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\PROCEXP113.SYS
Анализ завершен.
Список готов.
======= Начало исполнения скрипта =======
--------------------------------------------------------
delref HTTP://WEBALTA.RU
--------------------------------------------------------
Удаление ссылок на файл: HTTP://WEBALTA.RU
Изменено/удалено объектов автозапуска 5 из 5 | Удалено файлов: 0 из 0
--------------------------------------------------------
delref HTTP://WEBALTA.RU/POISK
--------------------------------------------------------
Удаление ссылок на файл: HTTP://WEBALTA.RU/POISK
Изменено/удалено объектов автозапуска 5 из 5 | Удалено файлов: 0 из 0
--------------------------------------------------------
sfcall
--------------------------------------------------------
======= Конец исполнения скрипта =======
Построение списка процессов и модулей...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [E:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [E:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [F:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [F:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [232,9GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Анализ файлов в списке...
Файл не найден: C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\NTVDM.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Файл не найден: LOGON.SCR
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\PROCEXP113.SYS
Анализ завершен.
Список готов.
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\PROGRAM FILES (X86)\SKYPE\\PHONE\SKYPE.EXE
Проверено файлов: 1279
Найдено вирусов: 0
Список готов.

 

[Severnyj]

Есть изменения?

 

[oleg7]

Пока значительных нет.Запустил Ccleaner -стирание только свободное место.Выдает:"не достаточно места на диске.На диске :\осталось 1МБ свободного места...чтобы освободить место на диске за счет удаления неиспользуемых программ,откройте "Программы и компоненты"
Но в "программах и компонентах" наверное и 1гигабайт нет.На этом ноутбуке можно удалять все что мешает работе.Помогите,пожалуйста.

Добавлено через 3 часа 31 минуту 46 секунд
Также,при выполнении скрипта№1 AVZ исчезает.Языковая панель переключается shift+alt.Может установить пока антивирус?

 

[Severnyj]

Запустил Ccleaner -стирание только свободное место

Эта функция записывает в свободное пространство диска нули, больше имеет отношение к безвозвратному удалению файлов чем к очистке диска от мусора.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Очистите ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Также,при выполнении скрипта№1 AVZ исчезает

Это какого? Если этого:

1. Поиск и нейтрализации RootKit UserMode и KernelMode. Выполняет поиск руткитов с нейтрализацией всех обнаруженных перехватов

- то вполне вероятны вылеты на x64.

Может установить пока антивирус?

Конечно установите!..

 

[oleg7]

This ID doesn't exist! по этой http://www.atribune.org/ccount/click.php?id=1 ссылке:mda:

 

[Severnyj]

https://safezone.cc/forum/downloads.php?do=file&id=1

 

[oleg7]

Установил Avast.При экспресс-сканировании обнаружен 1 зараженный файл.Удалил остатки avptool.

 

[oleg7]

Извините,забыл.

 

[Severnyj]

Подозрительного не видно.

Ключ реестра

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer]

- удалите вручную.

Обновите Adobe Flash Player и Adobe Reader до актуальных версий.

 

[oleg7]

Не удалилась папка Qoobox.Закачал Combofix еще раз-не удаляется (Combofix /Unistall)

 

[akok]

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Утилита почистит сама

 

[oleg7]

Подскажите,пожалуйста,можно ли на этом ноутбуке диск С c диском F поменять местами,так как диск С 31ГБ,а диск F 100ГБ без переустановки системы,а если только с переустановкой то тоже как?

 

[oleg7]

Языковая панель переключается shift+alt.Не удаляется папка Qoobox.