Нужна помощь против целого зоопарка...

Нужна помощь. Жена позавчера куда-то полазила, ушатала систему насмерть.

Основные замеченные симптомы:

1) Полетел её профиль пользователя, выдаёт CRC ошибку в ntuser.dat

2) Нет доступа (даже пинги и трассировка затыкаются ещё до роутера) до гугловских сайтов, кроме собственно поиска (точно затыкаются почта, карты, поиск по картинкам, youtube). IP ресольвится правильно (со смартфона по тому же соединению всё открывается)

3) Убивается броузер при попытке открыть некоторые сайты, например, Касперского

4) При попытке запостить что-то на ваш форум постоянно очищаются куки и/или обновляется страница

5) ТОРМОЗИТ... Без видимых проявлений этого в таск менеджере (т.е., тот показывает почти нулевой уровень загрузки процессора, памяти и т.д.). Работы винта не замечено

6) Позаражались (и, впоследствии, были убиты -- неясно, антивирусом или самой заразой) некоторые экзешники, например, igfxtray. Антивирус сказал, что засёк заразу в *процессе*, а не в файле, файл я попытался глянуть руками, но он уже отсутствовал

7) Машина напрочь отказывается работать с USB-хардами и DVD

8) Временами полностью блокируется мышь

9) Машинка -- AspireOne, WinXP Home Rus, ессно, "заточка" под сей ноут, без инсталляционных дисков, а со специальным "лучше всех спрятанным" разделом для восстановления системы в случае чего. Каковой раздел в процессе этого дела внезапно временно обнаружился и оказался открытым на запись, что, по-видимому, означает, что в нём уже сидит всё, что только можно

10) Включился ранее отключённый автозапуск флэшек и т.д.

11) Отключено меню "Все программы" в меню "Пуск" (т.е., при наведении мыши/нажатии на него *ничего* не происходит)

Прогнал полную проверку антивирусом.
Со смартфона скачал CureIt и HiJackThis, прогнал CureIt на компе с защищённой от записи MicroSD, он кое-что понаходил, но бОльшая часть фигни продолжается. Уже после него руками нашёл и, видимо, задавил (по крайней мере, прекратилось обновление как файлов в фолдерах пользователей и в system32, так и записей в реестре) кейлоггер jqyrg4inedzz13m...

С AVZ две проблемы.
Проблема #1. [url]http://z-oleg.com/avz4.zip[/url] даёт 404, а скрипты depositfiles на смартфоне не срабатывают. Т.е., если качать, то только прямо на заражённой машине (других, где это было бы хоть сколько-то реально сделать, под руками нет). Следует ли сделать именно так? Где ещё его можно взять? Или, если в запароленном *zip* архиве, могу скачать на заражённую машину, а развернуть на трубке. Что с ним делать?
И вторая. У меня стоит как раз McAfee VSE 8.0.0, с лицензией ещё почти на два года (осталась с предыдущей работы), который без крайней необходимости сносить бы не хотелось... От индусов на их хелп-деске ответа, как можно сохранить лицензию, ели мне нужно его временно деинсталлировать, ответа получить не удалось...

Лог HiJackThis прилагается (сорри, оперу не закрывал из-за №4 -- иначе вообще сообщение запостить не смог бы).

Восстановление системы у вас было включено? Пробуйте откатить систему.

Попытка восстановления системы ничего не дала, кроме исчезновения точки отката.
Уточнение: в данном случае речь о восстановлении системы посредством Виндоус, *не* Эйсеровском. Поскольку второе -- полное восстановление образа диска, т.е., потеря всех данных.

По-моему у вас реестр поврежден. Чтож, попробуйте снять логи этой версией AVZ [url]http://gjf.hotbox.ru/mink.pif[/url]

Возможно, но зверьков тоже хватает... Дело в том, что, как я указал, файл ntuser.dat профиля жены выдаёт ошибку при чтении даже из-под другого пользователя (меня или администраторского логина), пробовал FARом. То, что сбой жёсткого диска там настоящий -- весьма сомнительно.

Запустил скрипт AVZ, пока что не сносил McAfee. Пока он крутится (говорит, ещё четверть часа будет), ещё комментарий. Скачал VRT Касперского, прогнал, он, естественно, ничего не нашёл, но были некоторые странности в поведении. При установке (О.о) он три раза выдал "ошибка установки", при сканировании почему-то запускались инсталляторы некоторых установленных программ, причём три из них выдавали "неверный символ в пути ?????? ????" (DCI Reporter, Nokia PC Suite, Skype). Его скан для сбора информации заткнулся через две секунды после запуска по ошибке, но кнопка так и осталась "остановить" -- и ничего больше не происходило пару часов. При его деинсталляции опять-таки были три "ошибки инсталляции".

ОК, докрутился. Лог прилагаю. Написал, что что-то исправил, но даже понять, что, выходит за пределы моих знаний (впрочем, гугловских тоже :)

Но, что бы это ни было, основные грабли остались -- например, на этот сайт могу зайти только из-под турбо в опере.

Да, торможу с недосыпа... Плюс с того, что ноут был на последних 5 минутах батареи (свет "вовремя" рубанулся). Собственно, *те* логи сразу и не нашёл... Вот они.

Гм. Ещё добавление. Не знаю, относится ли оно к делу хоть как-то, но такая странность: в C:\Documents and Settings при попытке залогиниться в профиль жены образуется ещё и профиль пользователя вида username.machinename, старый тоже остаётся там же, где был, а вот с моим такого не происходит. Добавился ещё TEMP.machinename. В какой именно момент это произошло, сказать точно не могу, но сегодня ночью точно не было.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 36 минут[/I][/B][/color][/size]

Так что мне дальше делать-то? Таки сносить McAfee и пытаться опять снять логи AVZ, или что?..

В AVZ выполните скрипт:

[code]
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RebootWindows(true);
end.
[/code]

После перезагрузки сделайте лог обычной версией AVZ.

А обычную прямо на заражённую машину скачивать?

Логи тут.

AVZ пишет, что нужно обновить базы, с чем, однако, некоторая проблема... Тоже прилагается.

Meep? Что дальше-то?

В HiJackThis пофиксите:

[code]
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Nnueee
[/code]

В AVZ обновите базы и сделайте новые логи.

Базы обновил на другой машине, перенёс потом на свою на SD (на моей он их так и не обновляет)... Там точно зверья тоже хватало, надеюсь, это не помешало.

Вот логи с обновлённой базой перед тем, как исправил эти две вещи в HJT -- насчёт того, что пофиксить, увидел уже после, сейчас ещё раз запущу после исправления, но это ещё полтора часа.

Кстати, такой вопрос -- то, что AVZ показывает, сколько осталось времени сканировать, это примерно 15 минут всё время, пока не дойдёт почти до конца фолдера с виндой, потом это время постепенно, но шустро сползает к нолю, потом эта надпись вообще пропадает, и ещё больше получаса часа он сканирует остаток винды и фолдер с данными "втихую" -- это так и должно быть?

Исправил эти две штуки в HJT, перезагрузился, пока изменений не заметно. Из основных граблей, заметных сразу:

Меню "Все программы" не работает, правая кнопка на кнопке "пуск" не работает, обновление баз в AVZ (проверил из старого, специально отдельно отложил) не работает, доступа к профилю пользователя жены всё ещё нет.

Запускаю сканирование, соответственно, логи прицеплю где-то через полтора часа...

Edit: А, да, ещё. Улетают разного рода настройки. Например, уже заколебался отключать "tap-to-click" и включать убирающийся таскбар...

Логи после исправления в HJT.

В AVZ выполните скрипт:

[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/CODE]
Найдите "родной" установочный диск с дистрибутивом Windows
Пуск - выполнить [B]cmd[/B] - [B]sfc /scannow[/B]
[url]http://support.microsoft.com/kb/310747/ru[/url]
Доложите ситуацию после проверки и перезагрузки.

Гм. Скрипт прогнал, а вот с установочным диском -- проблема.

[quote]9) Машинка -- AspireOne, WinXP Home Rus, ессно, "заточка" под сей ноут, без инсталляционных дисков, а со специальным "лучше всех спрятанным" разделом для восстановления системы в случае чего. Каковой раздел в процессе этого дела внезапно временно обнаружился и оказался открытым на запись, что, по-видимому, означает, что в нём уже сидит всё, что только можно[/quote]

Т.е... Его нет просто, как понятия. Не предусмотрен по причине отсутствия у нетбука CD-привода...

Пойдёт ли инсталляционный диск не Acer Aspire One сборки, я не знаю, да и инсталляционного диска XP Home Rus у меня точно нет.

Версия Windows: 5.1.2600, Service Pack 3 - такую версию ищите.
Подключите к нетбуку cd-rom по usb интерфейсу.

Нужен именно инсталляционный диск такой версии? А где смотреть, какая она именно?
Пока на всякий случай прогнал sfc /scannow с винта -- он тихо прокрутился до конца и, ни говоря ни слова, закрылся.

[QUOTE='CheeseshireCat;747818']Пока на всякий случай прогнал sfc /scannow с винта -- он тихо прокрутился до конца и, ни говоря ни слова, закрылся.[/QUOTE]
это проблему не решило надо полагать?
[QUOTE='CheeseshireCat;747818']Нужен именно инсталляционный диск такой версии?[/QUOTE]
да.

Нет, никаких изменений в поведении машины не обнаружил. Ни после скрипта (что он делал-то?), ни после sfc.

А где вообще искать инсталляционный диск с предустановленным sp3? O.o И как узнать, какая версия?

Windows XP Professional sp3, for business and power users (Version number: NT 5.1.2600)
Эту версию дистрибутива ищите.

А XP *Pro* годится? А то я *Home* ищу -- мало ли, может, какие файлы разные...
Плюс, то, что русская -- есть разница, нет?

[QUOTE='CheeseshireCat;747982']Плюс, то, что русская -- есть разница, нет?[/QUOTE]
думаю есть.

Тогда мне что искать -- русская XP Pro SP3 подойдёт? Или обязательно нужно именно XP Home SP3?

[QUOTE='CheeseshireCat;748021']XP Pro SP3 подойдёт[/QUOTE]
подойдет.

Нашёл дистрибутив, проверил, он ничего не обнаружил.

Всякая ерунда всё равно продолжается... Слетают всякие настройки, вроде картинки, соответствующей пользователю, настроек таскбара, т.д... Плюс, не-админовский аккаунт теряет доступ к, в том числе, своим же документам...

В логах нет заражения.
Чтобы уменьшить возможность того, что система заражена попробуйте просканироваться с помощью livecd [url]http://virusinfo.info/showthread.php?t=15927[/url]
У Вас повреждены системные файлы и скорее всего реестр. Можно попробовать следующее. Вручную восстановить файлы реестра из папки C:\System Volume Information\ загрузившись с live cd (в том случае, если там что-то осталось) + накатить 3 сервис пак. Другая возможность - полная переустановка системы.

Нет, в SVI ничего не осталось. У меня и так сервис-пак 3 ж стоит? Накатить его ещё раз поверху или как? Насчёт livecd... Попробую, но у меня другой машины под руками нет. Насколько может быть проблемой, если я его нарежу прямо на этой?

Записывать livecd лучше на другой машине.
[QUOTE='CheeseshireCat;748284']Накатить его ещё раз поверху или как?[/QUOTE]
да, поверху.

Да негде :( Так что, если запись LiveCD прямо здесь же не поможет, по-видимому, придётся попробовать переустановку... Единствненное, у меня этикетка с кодом на нижней стороне ноута уже почти нечитаема... Посему вопрос -- можете сказать, является ли какая-нибудь из этих софтин безопасной -- [url]http://pcsupport.about.com/od/productkeysactivation/tp/topkeyfinder.htm?[/url]

Мне этот софт незнаком. Не могу сказать.