Торможение при загрузке системы

[skVoID]

Добрый день.
Установлена Windows 7 64 bit, с недавних пор жуткое торможение при загрузке системы. Антивирус Symantec Endpoint ничего не выявил, а AVP выявил одного трояна (запускался скрипт usft_ext.exe.vbs) и вроде как успешно с ним справился.
Тем не менее, Trojan Remover постоянно сигнализирует о Rootkit'е (C:\Windows\SysWOW64\Drivers\uti1mje2.sys) и каких-то прочих debbuger-программах (например, ppoaz_.exe, ppoaz_.exe и т.д.).

Буду признателен за помощь.

[Info_bot]

Уважаемый(ая) skVoID, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Users\VoID\AppData\Roaming\WindowsHelp\usft_ext.exe.vbs','32');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог полного сканирования МВАМ.

[skVoID]

Скрипт выполнил.
Прикладываю virusinfo_syscheck.zip и лог MBAM.

[Vvvyg]

Удалите в MBAM всё, кроме:

Код:

G:\2\NNS240.zip (Malware.NSPack) -> No action taken.

Перезагрузите систему и сделайте новый лог MBAM.

[skVoID]

Сделано. Но из реестра не удалилось и все равно Trojan Remover ругается на какие-то попытки запуска файлов типа "*_.exe".

[Vvvyg]

Удалите в MBAM:

Код:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe (Security.Hijack) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe (Security.Hijack) -> No action taken.

Уведомление

Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.

Сделайте лог ComboFix.

[skVoID]

Увы, не получается удалить в MBAM, пробовал и в нормальном и в безопасном режимах Windows, повторная проверка выявляет эти записи в реестре все равно.

Логи MBAM и ComboFix прилагаю.

[Vvvyg]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С:

Код:

KillAll::

NetSvc::


File::


Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\hijackthis.exe]
"Debugger"=cxyqom_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\housecalllauncher.exe]
"Debugger"=gqezxn_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
"Debugger"=xsytze_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\spybotsd.exe]
"Debugger"=ltoazt_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe]
"Debugger"=cxyqom_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe]
"Debugger"=gqezxn_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]
"Debugger"=xsytze_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe]
"Debugger"=ltoazt_.exe

Reboot::

После сохранения перетащите мышкой CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[skVoID]

Сделано.
Браузер Chrome перестал запускаться. Пишет 'Illegal operation attempted on a registry key that has been marked for deletion'. Ну это мелочи.

[Vvvyg]

У Вас явный перебор защитного софта, из-за этого могут быть проблемы.

Уведомление

Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.

Удалите Trojan Remover, при наличии нормальных антивирусов программа совершенно бесполезная.
Из двух оставшихся антивирусов - Microsoft Security Essentials и Symantec Endpoint Protection оставьте только один.

После этого выполните скрипт в ComboFix:

Код:

KillAll::

NetSvc::

File::

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\hijackthis.exe]
"Debugger"=c_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\housecalllauncher.exe]
"Debugger"=c_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
"Debugger"=o_.exe

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\image file execution options\spybotsd.exe]
"Debugger"=c_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe]
"Debugger"=c_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe]
"Debugger"=c_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]
"Debugger"=o_.exe

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe]
"Debugger"=c_.exe

Reboot::

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Сделайте полный образ автозапуска uVS.

[skVoID]

Удалены Malwarebytes Anti-Malware, Trojan Remover и Symantec Endpoint Protection.
Выполнен скрипт Combofix - лог прилагаю.
Выполнен uVS. Лог не могу загрузить на сайт (места выделенного уже не хватает видимо), простите, он тут -

[Vvvyg]

Теперь порядок, видимо, Symantec блокировал не по делу.

Выполните скрипт в uVS:

Код:

;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417009FF}
exec MsiExec.exe /quiet /I{64A3A4F4-B792-11D6-A78A-00B0D0170090}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216033FF}
deltmp
restart

На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

Уведомление

Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите, если нужно, Java 7 Update 25 64-bit . Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

- - - Добавлено - - -

Файл

Код:

e:\games\Metro.Last Light.v 1.0.0.4 + 2 DLC\Metro.exe

ComboFix, видимо, зря удалил, если нужен - восстановите, как описано здесь.
Затем удалите ComboFix.

[skVoID]

Скрипт uvs выполнен (прикладываю лог).
AVZ уязвимости не показал.
Так понимаю - проблема решена?!
Спасибо.

[Vvvyg]

Выполните рекомендации после лечения.

[skVoID]

Вновь установленный "Trojan Remover" при проверке выдает следующее:
"This "Debugger" file is called every time [hijackthis.exe] is executed:
igtbcp_.exe"

Далее тоже самое, только вместо [hijackthis.exe] участвует [housecalllauncher.exe], [rstrui.exe], [spybotsd.exe] и меняются запускаемые файлы.

Скажите, стоит ли обращать на это внимание?!

[Vvvyg]

Снова, похоже, ловите то же самое...
Сделайте новый полный образ автозапуска uVS.

[skVoID]

Trojan Remover был установлен сразу после лечения (скачан с официального сайта, последняя версия).

Прикрепляю полный образ автозапуска uvs -
http://rusfolder.com/37896306

Спасибо за помощь.