Подозрение на неизвестный троян (не определяется в AVPTools)

[anpspb]

Здравствуйте, уважаемые коллеги!
На десктопе (лицензионный старенький моноблок СОНИ VGC-LM1) стоит антивирус AVAST, который несколько раз за последний меяц при работе в Инете выдавал сообщения о наличии троянов на просматриваемых сайтах (подорение на межсайтовый скриптинг) и якобы блокировал их.
В с-ме имеется 2 раздела (диски С и D) на одном стоит старая лицензионная Виста (от производителя) которая не используется по причине отсутствия сети (подозревается вирус). На другом установлена также лицензионная Windows-7, в которой наблюдаются следующие эффекты:
1) длительное завершение работы при выключении (около 100 сек.);
2) автоматически удалены (дата не устаовлена) все точки восстановления, которые ранее были сохранены;
3) иногда при обращении к некоторым сайтам появляется запрос на сохранение кукис для сайтов, не имеющих на первый взгляд отношения к вызываемым (Твиттер, гугли и др.); на такие запросы всегда выдаю отрицательный ответ;
4) не запускаются макросы из приложения Word, аналогично тому, что было отмечено когда-то при наличии вируса в системе;
5) длительная загрузка системы (60 сек. по сообщению WiseCare365; но после выдачи сообщения проходит еще некоторое время до окончания "проявления" ярлыков на раб. столе).
6) ощущение, что скорость работы уменьшилась;
7) при предварительном сканировании системы (согласно Правилам) средством AVPTools (дополнительно к стандартным настройкам были заданы каталоги C:\windows, d:\windows, c:\user, d:\user в режиме с максимальной самозащитой и поиском руткитов в течение 3-х часов были найдены 4 угрозы: 4 экземпляра TeamViewer в разных каталогах и больше ничего;
8. при попытке загрузки программы HijackThis по ссылке из Правил, загрузка сайта в MSIE зависла; при загрузке AVZ по предыдущей ссылке Правил, как и при последующей загрузке game.exe==HijackThis по спец. ссылке - все грузилось быстро без проблем.

ПРИ вызове HijackThis в п.3 "Диагностика" Правил в процессе создания лог-файла дважды появлялось сообщение "unexpected error" с рекомендацией отослать отчет на сайт. В первый раз после ответа "да" в появившемся окне с сообщением в MSIE открылся сайт разработчика, с которым не захотелось разбираться. После закрытия окна MSIE окно выдалось повторно и после ответа "нет" анализ и создание лог-файла были завершены без ошибок. (Скриншот с сообщением HijackThis приложен четвертым файлом).

Заранее спасибо за помощь, жду ваших рекомендаций.
С уважением,
А. Порошин, преподаватель ИТ

[Info_bot]

Уважаемый(ая) anpspb, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

AVZPM в AVZ включали? Зачем?

Удалите Free USB Guard, включите проверку съёмных носителей в avast!, с авторанами он справляется без особых проблем.

Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите, отметьте все пункты, начинающиеся на Report и List и нажмите кнопку "Go".
После завершения сбора информации откроется отчет Result.txt, который необходимо прикрепить к своему следующему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

[anpspb]

Спасибо большое за оперативный ответ!
1. AVZPM в AVZ специально во ВНОВЬ скачанном AVZ не включал. видимо, остался в памяти от прошлых экспериментов со старой версии AVZ
2. USBGuard отключил и удалю
3. Отчет утилиты в зипе прилагаю.
SY, PAN

[Vvvyg]

Не затвикали систему с помощью WiseCare365?

Error: (04/28/2014 02:34:29 PM) (Source: Microsoft-Windows-TaskScheduler) (User: NT AUTHORITY)
Description: Службе планировщика заданий не удалось загрузить задания при запуске службы. Дополнительные данные: ошибка: 2147942402.

Error: (04/28/2014 02:30:27 PM) (Source: Service Control Manager) (User: )
Description: Служба "Браузер компьютеров" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки %%1068

Минимум 3 системные службы не работают, отсюда, вероятно, проблемы с долгим включением и выключением.

Некорректно настроен DNS:

DNS-суффикс подключения . . . . . : WRT350N
Описание. . . . . . . . . . . . . : LAN-Express AS IEEE 802.11g PCI-E Adapter
Физический адрес. . . . . . . . . : 00-1D-D9-DD-93-67
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::89ce:70cb:c9cc:b717%12(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.101(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 28 апреля 2014 г. 19:52:52
Срок аренды истекает. . . . . . . . . . : 29 апреля 2014 г. 19:52:52
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 218111449
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-75-24-A0-00-1A-80-1F-71-B7
DNS-серверы. . . . . . . . . . . : 192.168.1.1
8.8.8.8

Если роутер - 192.168.0.1 - то почему в качестве первого DNS- сервера прописан 192.168.1.1? Либо автоопределение должно быть, либо, тогда уж, 192.168.0.1.

Вирусов нет. Доводить до ума сбоящую систему человек, в подписи у которого преподаватель ИТ, должен, по моему мнению, сам. По крайней мере, эта проблема не для обсуждения в данном разделе форума.

[anpspb]

Добрый день, спасибо за диагноз, конечно буду доводить до ума сам! Главное - вирусов нет! Хотя... кто восстановление отключил? может, правда, и погиб вскоре после этого
Твиками не баловался
Инет получаю через телефонную сеть на ADSL-модем 192.168.1.1 от Ростелекома, а 192.168.0.1 - это старенький роутер Wrt350N, раздающий его по Wifi внутри помещения по локалке 192.168.0.*.
Еще раз спасибо за проверку!

[Vvvyg]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните рекомендации после лечения.

[anpspb]

Здравствуйте, спасибо за скрипт!
Найдены 2 уязвимости (flash player for MSIE & FF), установлены новые версии.
Обновлена Java (сперва были проблемы с отсутствием старого файла и отказ в update - см. скриншот-Err, затем обновление все-таки прошло и закончилось "поздравлением". Верить ему? Скриншот-OK).
Обновлен антивирус.
Был рад найти неизвестные ранее разделы на сайте virusinfo.info, приступил к повышению квалификации
Еще раз спасибо!