Подозрение на вирусы

Здравствуйте.

- Периодически при старте системы в обычном режиме не запускается Explorer.exe (запускается только через Диспетчер задач и с правами администратора).
- Та же самая проблема возникает в безопасном режиме.
- Переиодически перестают работать функции Мой компьютер, Панель управления и т. д, если заходить через Пуск.
- Ноутбук ощутимо тормозит, постоянно появляются сообщения о нехватке памяти. Большинство программ работает с ошибками. В частности появилась такая проблема: открывается текстовик и, если попробовать открыть через него новый файл, программа перезапускается. То же самое часто происходит при сохранении большинства файлов.
- Для соединения с интернетом пользуюсь специальной утилитой (у меня USB-модем). Запускается она с недавних пор только с правами администратора. В противном случае, появляется ошибка.
- При скачке файлов через браузер, браузер автоматически закрывается.
- Браузеры запускаются только с правами администратора.

Прикладываю логи для AVZ и HijackThis.

Помогите, пожалуйста, если это возможно.

Уважаемый(ая) [B]Karl999[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('E:\Users\Миша\AppData\Local\SystemDir\nethost.exe','');
DeleteFile('E:\Users\Миша\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('E:\Windows\system32\Tasks\nethost task','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Сделано.

quarantine.zip в ссылке.

Выполнил повторно правила, три лога прикладываю здесь.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Сделано. Оба лога прикрепил.

Единственное, забыл сохранить программу на Рабочий стол и запускал из Загрузок. Упоминаю на всякий случай, вдруг это было важно.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3670921155-1849961991-2279617801-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3670921155-1849961991-2279617801-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://api.youqian.baidu.com/v1/nav?soft=12&uid=50102139&guid=5ae0ddce88e5e7986ef6c7898ef283da&vd=801941292
SearchScopes: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://search.eshield.com/serp?guid={905195F8-3DE7-4840-8EC3-1CE5F6B26DC5}&k={searchTerms}
SearchScopes: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000 -> yandex.ru-130731 URL = hxxp://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
FF Homepage: hxxp://kartasim.ru/?utm_source=startpage03&utm_content=2134be4201458d887422ed88b77a224e&utm_term=4574355A5DB445E94852E610FE4B54F4
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{00EEBF57-477D-4084-9921-7AB3C2C9459D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{0997898B-0713-11D2-A4AA-00C04F8EEB3E}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{0AF10CEC-2ECD-4B92-9581-34F6AE0637F3}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{0B91A74B-AD7C-4A9D-B563-29EEF9167172}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{0C15D503-D017-47CE-9016-7B3F978721CC}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{1D2680C9-0E2A-469D-B787-065558BC7D43}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{35786D3C-B075-49B9-88DD-029876E11C01}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{3AD05575-8857-4850-9277-11B85BDB8E09}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{640167B4-59B0-47A6-B335-A6B3C0695AEA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{9113A02D-00A3-46B9-BC5F-9C04DADDD5D7}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{AE054212-3535-4430-83ED-D501AA6680E6}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{B155BDF8-02F0-451E-9A26-AE317CFD7779}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{BD84B380-8CA2-1069-AB1D-08000948F534}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3670921155-1849961991-2279617801-1000_Classes\CLSID\{FE841493-835C-4FA3-B6CC-B4B2D4719848}\InprocServer32 -> no filepath
AlternateDataStreams: E:\subinacl.exe:$CmdTcID
AlternateDataStreams: E:\Windows\system32\acmigration.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\aeinv.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\aepdu.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\aepic.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\AERTACap.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\aitstatic.exe:$CmdTcID
AlternateDataStreams: E:\Windows\system32\appraiser.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\CompatTelRunner.exe:$CmdTcID
AlternateDataStreams: E:\Windows\system32\DDPA32.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\DDPD32A.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\DDPO32A.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\DDPP32A.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\devinv.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\FMAPO.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\generaltel.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\invagent.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\kerberos.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\MaxxAudioEQ.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\ntkrnlpa.exe:$CmdTcID
AlternateDataStreams: E:\Windows\system32\ntoskrnl.exe:$CmdTcID
AlternateDataStreams: E:\Windows\system32\nvaudcap32v.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\RltkAPO.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\RtkApoApi.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\RtkCoInstII.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\RtkPgExt.dll:$CmdTcID
AlternateDataStreams: E:\Windows\system32\RTSndMgr.cpl:$CmdTcID
AlternateDataStreams: E:\Windows\system32\win32k.sys:$CmdTcID
AlternateDataStreams: E:\Windows\system32\Drivers\NETwsn00.sys:$CmdTcID
AlternateDataStreams: E:\Windows\system32\Drivers\nvvad32v.sys:$CmdTcID
AlternateDataStreams: E:\Windows\system32\Drivers\RTKVHDA.sys:$CmdTcID
AlternateDataStreams: E:\Windows\system32\Drivers\ssudbus.sys:$CmdTcID
AlternateDataStreams: E:\ProgramData\TEMP:07BF512B
AlternateDataStreams: E:\Users\Все пользователи\TEMP:07BF512B
AlternateDataStreams: E:\Users\Миша\Local Settings:av
AlternateDataStreams: E:\Users\Миша\Local Settings:wa
AlternateDataStreams: E:\Users\Миша\MediaFire:mf_x
AlternateDataStreams: E:\Users\Миша\Downloads\WindowsUpdateDiagnostic.diagcab:$CmdZnID
AlternateDataStreams: E:\Users\Миша\AppData\Local:av
AlternateDataStreams: E:\Users\Миша\AppData\Local:wa
AlternateDataStreams: E:\Users\Миша\AppData\Local\Application Data:av
AlternateDataStreams: E:\Users\Миша\AppData\Local\Application Data:wa
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Здравствуйте.

Всё сделал. Fixlog.txt прикладываю.

Что с проблемой?

Ситуация стала лучше.

[QUOTE]- Периодически при старте системы в обычном режиме не запускается Explorer.exe (запускается только через Диспетчер задач и с правами администратора).[/QUOTE]
Осталось, но возникает не каждый раз. Удалось выяснить, что, вероятно, зависит от утилиты, запускающей модем. Если перезагрузиться, когда была запущена утилита, подключен модем и было соединение с интернетом - возникает ошибка. Сам по себе запуск таких вещей из под прав администратора - что-то нездоровое.

[QUOTE]- Та же самая проблема возникает в безопасном режиме.[/QUOTE]
Кажется, решено. Во всяком случае, пока не наблюдается.

[QUOTE]- Переиодически перестают работать функции Мой компьютер, Панель управления и т. д, если заходить через Пуск.[/QUOTE]
Решено.

[QUOTE]- Ноутбук ощутимо тормозит, постоянно появляются сообщения о нехватке памяти. Большинство программ работает с ошибками. В частности появилась такая проблема: открывается текстовик и, если попробовать открыть через него новый файл, программа перезапускается. То же самое часто происходит при сохранении большинства файлов.[/QUOTE]
Решено, частично. Остались редкие ошибки памяти. Но их стало меньше.

[QUOTE]- Для соединения с интернетом пользуюсь специальной утилитой (у меня USB-модем). Запускается она с недавних пор только с правами администратора. В противном случае, появляется ошибка.[/QUOTE]
Осталось. После проделанных скриптов и фиксов - один раз произошёл нормальный запуск, потом вновь - только из под прав администратора. Иначе - ошибка.

Я забыл изначально упомянуть деталь: если переустановить драйвера на утилиту - одна единожды запускается нормально. Но всего один раз. Потом снова ошибки.

[QUOTE]- При скачке файлов через браузер, браузер автоматически закрывается.[/QUOTE]
Решено.

[QUOTE]- Браузеры запускаются только с правами администратора.[/QUOTE]
Решено.

Оставшиеся проблемы к вирусам отношения не имеют

Понимаю. Тогда можно считать проблему решённой. Наверное...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]