Подозрение на вирусы

Несколько месяцев назад у меня начались странности с компьютером. В частности, дольше стала грузиться операционная система Microsoft Windows 8.1 64-х битная. Без видимых причин стал перегружаться диск на 100%, а корпус компьютера становился горячим. При рассмотрении работающих приложений с помощью диспетчера задач стало видно, что вероятно вирус создаёт образы ещё 2-3 систем Microsoft word, помимо реально функционирующего файла и подгружает компьютер. Также файлы Adobe Reader X стали удаляться только с 6-7 попытки, т.к. система просила повторить удаление. Тоже касается и файлов WinDjView. После установления Acrobat Reader DC файлы стали удалятся сразу, или через 1-2 попытки, а после установления новой версии WinDjView сразу же. Файлы Microsoft word часто тоже удаляются только после отключения соответствующего приложения. Также начал с перебоями работать KMP Player (также было видно, что появлялось 3-4 его фальшивых образа), так, что в настройках компьютера (программы и компоненты) было написано, что его можно только удалить. Что я и сделал, установив AIMP который пока работает нормально. Также появились проблемы с извлечением и переносом на компьютер файлов с DVD дисков с дисковода. При попытке переноса с диска данных компьютер начинал вибрировать, диск перегружался на 100% и файлы, записанные на диске, повреждались, лишь частично переносясь на компьютер. При работе в интернете в последнее время плагин Adobe Shocwave Player часто и без причины перестаёт работать, что затрудняет пользование интернетом. Изначально у меня стоял антивирусник ESET NOD 2014 года. До проблем с компьютером он при сканировании открывал все файлы, но затем, когда начались проблемы, он стал писать ошибка открытия для многих файлов вин 32 (в конечном итоге более тысячи), будучи не в состоянии их просканировать. Я поставил бесплатный новый антивирусник 360 Total Security. Тот нашел при работе системы три подозрительных файла, но вместо того чтобы их отправить на изучение как я выбрал в опции, он их удалил! При выключении компьютера стала появляться информация, что не закрыты программы в основном веб-камеры и аудиоустройств, хотя я их даже не открывал!
Так я понял, что у меня в компьютере находится полиморфный вирус, или руткит, и, зайдя на сайт Касперского, скачал оттуда соответствующие утилиты для борьбы с распространенными вирусами указанных категорий. Вирус они не нашли, но система стала перегружаться ещё больше. После проверки одной из утилит, при перезагрузки появилась информация, что инструкция 000 и далее ещё около 12 цифр обратилась к Интернет Эксплорер, но тот не является памятью. На следующий день появилась информация о egui. exe ESET NOD проблема обращения к ядру, а на компьютере при всех закрытых приложениях диск грузился на 100%. Я попытался удалить egui. exe ESET NOD, но система не позволяла это сделать. Только с помощью IObit Malware Fighter удалось это сделать. При этом и на диспетчере задач и в программе Security Task Manager (пробная версия) было показано, что она не удалена, а функционирует, а 60 антивирусов через пять минут после её удаления проверили он-лайн, вероятно созданный вирусом образ (если верить программе Security Task Manager) и не нашли вирусов!!! Только после выключения и включения компьютера стало видно, что egui. exe ESET NOD удалена. Сейчас программа Security Task Manager (пробный вариант), выделяет красным цветом несколько сотен файлов, намекая, что знает, чем они заражены, и, прося активировать для получения информации платную версию. При нажатии проверить файл, отмеченный красным цветом, эта пробная версия пишет, что файл не найден.
Kaspersky Security Scan нашёл вредоносное ПО UDS: DangerousObject.Multi.Generic, но после окончания процедуры лечения с помощью утилиты Virus Removal Tool (перезагрузки ПК) он снова выдает предупреждение об этом же вирусе и предлагает лечение еще раз. Полагаю это только часть большого полиморфного вируса. [FONT=&quot]Прошу Вас помочь мне в удалении вируса, а также защитить компьютер от повторного заражения, т.к. вероятно он находится и на «флэшке» с данными которые я не хотел бы удалять.[/FONT]

Уважаемый(ая) [B]ССД[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Удалите IObit, Advanced SystemCare через установку программ в панели управления


- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Удалил IObit, Advanced SystemCare через установку программ в панели управления, хотя проблемы с компьютером начались ещё до их установки. Подготовил лог AdwCleaner. Жду дальнейших инструкций.

Удалил IObit и Advanced SystemCare через установку программ в панели управления, хотя проблемы с компьютером ачались ещё до их установки. Впрочем, теперь компьютер меньше подвисает. Лог AdwCleaner мною подготовлен. Надеюсь на продолжение оказания помощи.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Уважаемые хелперы! Удалил с помощью adwcleaner_7.0.1.0 55 объектов Правда часть осталась в карантине указанной программы (видимо не удалившись полностью, как я уже писал ранее). Поскольку компьютер продолжает время от времени грузиться без видимых причин, как и раньше попробовал с помощью adwcleaner_7.0.1.0 снова просканировать свой компьютер, однако она дойдя почти до конца сканирования написала:caught unhandled unknown exception terminating (т.е. что найден неизвестный объект который она не может просканировать) в случае нажатия на пропуск программа мгновенно выключается не оставляя логов проверки. В противном случае она просто виснет без каких-либо дальнейших действий. Зашёл на форум Malwarebytes. Узнал, что у тех у кого указанная программа находила как и у меня PUP.Optional.Legacy and PUP.Adware.Heuristic возникают такие же проблемы. Там советовали удалить с помощью новой версии adwcleaner_7.0.2.0. Скачав её я попробовал, но результат оказался тот же. Тогда я посмотрел с помощью Security Task Manage (пробная версия) на состояние системы. Она продолжает выделять красным цветом несколько сотен файлов, намекая, что знает, чем они заражены, и, прося активировать для получения информации платную версию. При нажатии проверить файл, отмеченный красным цветом, эта пробная версия пишет, что файл не найден. Правда теперь этих файлоф визуально стало поменьше (наверное на те 55 удалённых). Пожалуйста, хотя бы посоветуйте, что делать!!!

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Уважаемые хелперы, спасибо за быстрое реагирование на мою просьбу! Скачал и установил FRST64, запрошенные отчёты присылаю.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: %ProgramFiles%\Windows Defender\MSASCuiL.exe
File: C:\Program Files (x86)\System Explorer\SystemExplorer.exe
SearchScopes: HKLM -> {E20A7EB6-35EF-432D-AE18-F4B32BB73276} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {E20A7EB6-35EF-432D-AE18-F4B32BB73276} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-934939548-2170223169-1849822518-1004 -> {E20A7EB6-35EF-432D-AE18-F4B32BB73276} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> No File
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll -> No File
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll -> No File
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlockerExtension.dll -> No File
File: C:\Program Files\Windows Defender\\MpCmdRun.exe
Task: {B961601F-81E4-401F-9F48-410DB63601D2} - \ASC10_SkipUac_makss_000 -> No File <==== ATTENTION
Task: {7E43BE55-99E4-482A-A213-21EC0BD9783C} - System32\Tasks\Driver Booster SkipUAC (makss_000) => C:\Program Files (x86)\IObit\Driver Booster\4.5.0\DriverBooster.exe
AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815 [149]
MSCONFIG\startupreg: egui => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
MSCONFIG\startupreg: egui1 => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
MSCONFIG\startupreg: egui2 => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
MSCONFIG\startupreg: egui3 => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
MSCONFIG\startupreg: egui4 => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
MSCONFIG\startupreg: egui5 => "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
FirewallRules: [{5885EACB-AA6F-492B-B767-F5283700D440}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{F0AF8179-2B93-431D-B3CE-862393F8E1EE}] => (Allow) C:\Program Files (x86)\IObit\IObit Malware Fighter\Surfing Protection\FFNativeMessage.exe
CMD: sfc /scannow
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Выполнения фикса может занять некоторое время, так как в скрипте указана по окончанию проверить целостность системных файлов.

Как Вы и рекомендовали, я создал текстовый файл fixlist.txt и далее запустил FRST и нажал один раз на кнопку Fix. Созданный файл прилагаю. Однако, перезагрузка компьютера при осуществлении данной процедуры не произошла, а сам процесс создания лог-файла занял 20-30 секунд. Может быть, потому что программа FRST была мною изначально запущена не из какой-то отдельной папки, а с диска С, куда я перемещаю из папки загрузки скаченые программы. Именно туда я и поместил, созданный текстовый файл fixlist.txt. Еще раз спасибо забыстрое реагирования. Вчера я был занят и не смог просмотреть почту и выполнить ваши рекомендации.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]


Попробовал ещё раз, создав текстовый файл fixlist.txt, взяв материал не из электронного письма, а непосредственно с сообщения на форуме. И, у меня получилось.Программа FRST работала больше часа, а потом, как и указывалось произошла перезагрузка компьютера. Полученный текстовой файл в архивированном виде прилагаю.

Программа защиты ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них. Подробные сведени, см. в файле CBS.Log.

Приложите пожалуйста следующий файл (предварительно заархивировав в zip):
[CODE]C:\Windows\Logs\CBS\CBS.log[/CODE]

С помощью поисковика в правой верхней части экрана я введя CBS.log смог найти 4 файла: 3 из них были в неизвестном для меня формате cdf-ms (4ed548270821d30147c80000cc18d015.$$_logs_cbs_10a752bcbbaee88b.cdf-ms; 90bfd2db0521d30140810000cc18d015.$$_logs_cbs_10a752bcbbaee88b.cdf-ms;$$_logs_cbs_10a752bcbbaee88b.cdf-ms) и один в формате txt. Полагаю именно он Вам и нужен, в связи с чем его и прилагаю.

Мне необходим конкретный лог, который ранее указал, пробуйте найти его:
[CODE]<каталог Windows>\Logs\CBS\CBS.log[/CODE]

Поскольку поисковик не нашёл ни чего конкретного по Вашему запросу я сам стал искать в папке Windows, подпапка Logs, подпапка CBS. Там был только один текствой файл, который я и прилагаю. Если этоопять не то, прошу подробнее объяснить возможное местонахождение искомого файла.

Скачайте сторонную утилиту [URL="http://www.sysnative.com/niemiro/apps/SFCFix.exe"]SFCFix.exe[/URL] и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "[B]enter[/B]" (в общем должно получиться три раза), далее нажмите клавишу "y".
- подождите завершения.
- по окончанию нажмите "[B]enter[/B]", на рабочем столе сформируется файл [B]SFCFix.txt[/B] приложите его к следующем сообщение.

Добрый день уважаемый хелпер! Сделал всё по инструкции сформированный файл [B]SFCFix.txt[/B] прилагаю к сообщению. От себя могу добавить, что просканировал систему ещё раз [FONT=&quot]с помощью Security Task Manage (пробная версия) среди[/FONT][FONT=&quot], выделяемых красным цветом одноимённых [/FONT][FONT=&quot]файлов наибольшее количество (14) svchost.exe. Возможно вам это поможет.[/FONT]

Покажите пожалуйста скрин.

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

Скачал программу uvs и сделал полный образ автозапуска. Полученный лог прилагаю. Возможно вам поможет также, то соотношение зараженных фалов которое видит[FONT=&quot] Security Task Manage (пробная версия). Примерно 60% файлов с раширением sys, примерно 35% с расширением exe, 10 фалов неизвестноо расширения и 1 BthHfsrv.dll с расширением [/FONT][FONT=&quot]dll. Впрочем, возможно, что эта програма тоже не всё видит, т.к. через несколько дней после того как зависла программа adwcleaner_7.0.1.0, рядом выделенными красным цветом файлами появился знак вопроса. Кроме того, я заметил, что в установленных мною недавно для борьбы с Malware Adaware Antivirus и Adguard файлы [/FONT]Adaware.Service.[FONT=&quot]exe[/FONT] и Adguard.Service.[FONT=&quot]exe, отмечены красным цветом. Причём после первоначально успешной работы[/FONT][FONT=&quot][FONT=&quot] adwcleaner_7.0.1.0 это выделение пропало, а сейчас появилось вновь. Также этот вирус не даёт автоматически устанавливать пакеты [/FONT][/FONT][FONT=&quot][FONT=&quot][FONT=&quot][FONT=&quot]обновления [/FONT][/FONT] безопасности системы и браузера.[/FONT] [/FONT]
К сожалению не смог прикрепить файл, т.к. у Вас существуют ограничения на размер вложений в теме. Подскажите, что делать.

Удалите старые вложения Мой кабинет => Вложения