Нужна помощь против целого зоопарка...

**CheeseshireCat** · 19.12.2010, 03:45

Нужна помощь. Жена позавчера куда-то полазила, ушатала систему насмерть.

Основные замеченные симптомы:

1) Полетел её профиль пользователя, выдаёт CRC ошибку в ntuser.dat

2) Нет доступа (даже пинги и трассировка затыкаются ещё до роутера) до гугловских сайтов, кроме собственно поиска (точно затыкаются почта, карты, поиск по картинкам, youtube). IP ресольвится правильно (со смартфона по тому же соединению всё открывается)

3) Убивается броузер при попытке открыть некоторые сайты, например, Касперского

4) При попытке запостить что-то на ваш форум постоянно очищаются куки и/или обновляется страница

5) ТОРМОЗИТ... Без видимых проявлений этого в таск менеджере (т.е., тот показывает почти нулевой уровень загрузки процессора, памяти и т.д.). Работы винта не замечено

6) Позаражались (и, впоследствии, были убиты -- неясно, антивирусом или самой заразой) некоторые экзешники, например, igfxtray. Антивирус сказал, что засёк заразу в *процессе*, а не в файле, файл я попытался глянуть руками, но он уже отсутствовал

7) Машина напрочь отказывается работать с USB-хардами и DVD

Временами полностью блокируется мышь

9) Машинка -- AspireOne, WinXP Home Rus, ессно, "заточка" под сей ноут, без инсталляционных дисков, а со специальным "лучше всех спрятанным" разделом для восстановления системы в случае чего. Каковой раздел в процессе этого дела внезапно временно обнаружился и оказался открытым на запись, что, по-видимому, означает, что в нём уже сидит всё, что только можно

10) Включился ранее отключённый автозапуск флэшек и т.д.

11) Отключено меню "Все программы" в меню "Пуск" (т.е., при наведении мыши/нажатии на него *ничего* не происходит)

Прогнал полную проверку антивирусом.
Со смартфона скачал CureIt и HiJackThis, прогнал CureIt на компе с защищённой от записи MicroSD, он кое-что понаходил, но бОльшая часть фигни продолжается. Уже после него руками нашёл и, видимо, задавил (по крайней мере, прекратилось обновление как файлов в фолдерах пользователей и в system32, так и записей в реестре) кейлоггер jqyrg4inedzz13m...

С AVZ две проблемы.
Проблема #1. http://z-oleg.com/avz4.zip даёт 404, а скрипты depositfiles на смартфоне не срабатывают. Т.е., если качать, то только прямо на заражённой машине (других, где это было бы хоть сколько-то реально сделать, под руками нет). Следует ли сделать именно так? Где ещё его можно взять? Или, если в запароленном *zip* архиве, могу скачать на заражённую машину, а развернуть на трубке. Что с ним делать?
И вторая. У меня стоит как раз McAfee VSE 8.0.0, с лицензией ещё почти на два года (осталась с предыдущей работы), который без крайней необходимости сносить бы не хотелось... От индусов на их хелп-деске ответа, как можно сохранить лицензию, ели мне нужно его временно деинсталлировать, ответа получить не удалось...

Лог HiJackThis прилагается (сорри, оперу не закрывал из-за №4 -- иначе вообще сообщение запостить не смог бы).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 19.12.2010, 04:10

Восстановление системы у вас было включено? Пробуйте откатить систему.

**CheeseshireCat** · 19.12.2010, 05:55

Попытка восстановления системы ничего не дала, кроме исчезновения точки отката.
Уточнение: в данном случае речь о восстановлении системы посредством Виндоус, *не* Эйсеровском. Поскольку второе -- полное восстановление образа диска, т.е., потеря всех данных.

**миднайт** · 19.12.2010, 13:21

По-моему у вас реестр поврежден. Чтож, попробуйте снять логи этой версией AVZ http://gjf.hotbox.ru/mink.pif

**CheeseshireCat** · 19.12.2010, 15:03

Возможно, но зверьков тоже хватает... Дело в том, что, как я указал, файл ntuser.dat профиля жены выдаёт ошибку при чтении даже из-под другого пользователя (меня или администраторского логина), пробовал FARом. То, что сбой жёсткого диска там настоящий -- весьма сомнительно.

Запустил скрипт AVZ, пока что не сносил McAfee. Пока он крутится (говорит, ещё четверть часа будет), ещё комментарий. Скачал VRT Касперского, прогнал, он, естественно, ничего не нашёл, но были некоторые странности в поведении. При установке (О.о) он три раза выдал "ошибка установки", при сканировании почему-то запускались инсталляторы некоторых установленных программ, причём три из них выдавали "неверный символ в пути ?????? ????" (DCI Reporter, Nokia PC Suite, Skype). Его скан для сбора информации заткнулся через две секунды после запуска по ошибке, но кнопка так и осталась "остановить" -- и ничего больше не происходило пару часов. При его деинсталляции опять-таки были три "ошибки инсталляции".

ОК, докрутился. Лог прилагаю. Написал, что что-то исправил, но даже понять, что, выходит за пределы моих знаний (впрочем, гугловских тоже :)

Но, что бы это ни было, основные грабли остались -- например, на этот сайт могу зайти только из-под турбо в опере.

**CheeseshireCat** · 19.12.2010, 15:17

Да, торможу с недосыпа... Плюс с того, что ноут был на последних 5 минутах батареи (свет "вовремя" рубанулся). Собственно, *те* логи сразу и не нашёл... Вот они.

**CheeseshireCat** · 19.12.2010, 23:02

Гм. Ещё добавление. Не знаю, относится ли оно к делу хоть как-то, но такая странность: в C:\Documents and Settings при попытке залогиниться в профиль жены образуется ещё и профиль пользователя вида username.machinename, старый тоже остаётся там же, где был, а вот с моим такого не происходит. Добавился ещё TEMP.machinename. В какой именно момент это произошло, сказать точно не могу, но сегодня ночью точно не было.

Добавлено через 7 часов 36 минут

Так что мне дальше делать-то? Таки сносить McAfee и пытаться опять снять логи AVZ, или что?..

**миднайт** · 20.12.2010, 01:26

В AVZ выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RebootWindows(true);
end.

После перезагрузки сделайте лог обычной версией AVZ.

**CheeseshireCat** · 20.12.2010, 01:57

А обычную прямо на заражённую машину скачивать?

**CheeseshireCat** · 20.12.2010, 03:55

Логи тут.

AVZ пишет, что нужно обновить базы, с чем, однако, некоторая проблема... Тоже прилагается.

**CheeseshireCat** · 21.12.2010, 02:39

Meep? Что дальше-то?

**миднайт** · 21.12.2010, 03:07

В HiJackThis пофиксите:

Код:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Nnueee

В AVZ обновите базы и сделайте новые логи.

**CheeseshireCat** · 21.12.2010, 04:41

Базы обновил на другой машине, перенёс потом на свою на SD (на моей он их так и не обновляет)... Там точно зверья тоже хватало, надеюсь, это не помешало.

Вот логи с обновлённой базой перед тем, как исправил эти две вещи в HJT -- насчёт того, что пофиксить, увидел уже после, сейчас ещё раз запущу после исправления, но это ещё полтора часа.

Кстати, такой вопрос -- то, что AVZ показывает, сколько осталось времени сканировать, это примерно 15 минут всё время, пока не дойдёт почти до конца фолдера с виндой, потом это время постепенно, но шустро сползает к нолю, потом эта надпись вообще пропадает, и ещё больше получаса часа он сканирует остаток винды и фолдер с данными "втихую" -- это так и должно быть?

**CheeseshireCat** · 21.12.2010, 04:57

Исправил эти две штуки в HJT, перезагрузился, пока изменений не заметно. Из основных граблей, заметных сразу:

Меню "Все программы" не работает, правая кнопка на кнопке "пуск" не работает, обновление баз в AVZ (проверил из старого, специально отдельно отложил) не работает, доступа к профилю пользователя жены всё ещё нет.

Запускаю сканирование, соответственно, логи прицеплю где-то через полтора часа...

Edit: А, да, ещё. Улетают разного рода настройки. Например, уже заколебался отключать "tap-to-click" и включать убирающийся таскбар...

**CheeseshireCat** · 21.12.2010, 06:36

Логи после исправления в HJT.

**миднайт** · 21.12.2010, 10:26

В AVZ выполните скрипт:

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Найдите "родной" установочный диск с дистрибутивом Windows
Пуск - выполнить cmd - sfc /scannow
http://support.microsoft.com/kb/310747/ru
Доложите ситуацию после проверки и перезагрузки.

**CheeseshireCat** · 21.12.2010, 11:35

Гм. Скрипт прогнал, а вот с установочным диском -- проблема.

9) Машинка -- AspireOne, WinXP Home Rus, ессно, "заточка" под сей ноут, без инсталляционных дисков, а со специальным "лучше всех спрятанным" разделом для восстановления системы в случае чего. Каковой раздел в процессе этого дела внезапно временно обнаружился и оказался открытым на запись, что, по-видимому, означает, что в нём уже сидит всё, что только можно

Т.е... Его нет просто, как понятия. Не предусмотрен по причине отсутствия у нетбука CD-привода...

Пойдёт ли инсталляционный диск не Acer Aspire One сборки, я не знаю, да и инсталляционного диска XP Home Rus у меня точно нет.

**миднайт** · 21.12.2010, 12:21

Версия Windows: 5.1.2600, Service Pack 3 - такую версию ищите.
Подключите к нетбуку cd-rom по usb интерфейсу.

**CheeseshireCat** · 21.12.2010, 12:29

Нужен именно инсталляционный диск такой версии? А где смотреть, какая она именно?
Пока на всякий случай прогнал sfc /scannow с винта -- он тихо прокрутился до конца и, ни говоря ни слова, закрылся.