Ноутбук не загружается никак!

[бУРов]

Ноутбук Acer Aspire 9500 с Windows XP Pro SP2 на борту. Диск 80 Гб разбит на 2 раздела, один под систему, другой под данные.
Не загружается. В нормальном и любом из безопасных режимов он грузится-грузится и перестает это делать. К диску обращений не наблюдается, но указателем мышки можно двигать.
Зашел с LiveCD, папка Windows имеет название "WINDOWS.0". Профили дублируются, но одни с приставкой ".NT Authority".
Два пользовательских профиля: "Admin" и "Root". Но судя по записям в реестре, рабочий профиль "Root", "Admin" остался от прежних установок наверное.
Попытался сделать переустановку с загрузочного CD. После стадии копирования файлов и перехода на загрузку с ЖД, история повторяется !!!.
Зашел в режиме восстановления. Сделал FixMBR. Но вот когда попробовал FixBoot, получил предупреждение, что после исправления бутовой записи могут перестать читаться все разделы. Мол, бутовая запись какая-то хитро-мудрая. Я не стал делать пока FixBoot.
Но снял в файлы бинари начальных секторов диска:
- сектор MBR 512 байт (программой Acronis Disk Editor)
- сектора 0..62. Собственно снова MBR и все сектора до загрузчика. Что примечательно, что помимо сектора MBR, есть еще несколько чем-то заполненных секторов прямо посередине этой области. Остальные же сектора зануленые.
- загрузчик. Сектора 63..78.

Просканил CureIT (из-под ERD-Commander), который обнаружил порядка 800 зараженных файлов. Я приказал ему удалить их, он это сделал, но один удалить не смог, только переместил.

Удалось получить логи AVZ (из-под ERD-Commander).
HijakThis не запустился.

Прикладываю 7 файлов:
- 2 лога CureIt;
CureIt0.zip
CureIt.zip
- 3 перечисленных бинарных зоны;
- 2 лога AVZ

Как мне поступить?
Стоит ли выполнить "FixBoot"?

PS. Сканировал диск на физические ошибки и нашел одну. После этого проделал "chkdsk c: /f /r".
PSS. Образ системы Акронисом снял.

[thyrex]

Логи из-под LiveCD бесполезны

[бУРов]

Из-под ERD-коммандера удалось откатить систему к последней рабочей контрольной точке. Что и дало мне возможность войти в систему.
Система глючит конкретно. Вот что я заметил:
- не определяется флешка
- не отрабатывают msi-программы
- после каждой перезагрузки системный диск содержит ошибки. Проверяй с ключами "/f/r" хоть каждый раз - после перезагрузки ошибки снова появляются.
- порою система просто выключается
- некая прога "Win Patrol" регулярно верещит, что кто-то хочет попасть в автозагрузку
- по сети все время кто-то что-то гонит
- и много что еще не работает

Получил нужные логи, жаль забыл отключить восстановление.

[бУРов]

Отключил восстановление и по-новой получил логи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\sfcfiles.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\mssfc.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\WINDOWS.0\system32\mssfc.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

c:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы

Сделайте новые логи

Сделайте лог gmer

[бУРов]

- AVZ-скрипт выполнил
- Запрошенный карантин отослал
- Файл c:\WINDOWS\system32\sfcfiles.dll заменил чистым, правда из дистрибутива с SP3
- Новые логи сделал
- gmer-лог сделал

[thyrex]

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

7vtqcgfj.exe -del service bntcxczxh
7vtqcgfj.exe -del file "C:\WINDOWS.0\system32\tnjlv.dll"
7vtqcgfj.exe -del file "C:\Documents and Settings\Root\Главное меню\Программы\Автозагрузка\igfxtray.exe"
7vtqcgfj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bntcxczxh"
7vtqcgfj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bntcxczxh"
7vtqcgfj.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили 7vtqcgfj.exe (gmer)
4. Укажите Тип файла - [/b]Все файлы (*.*)[/b]
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

[бУРов]

Скрипт выполнил, gmer ругнулся, что не нашел igfxtray.exe по указанному пути. Я поискал по всем дискам файл по шаблону "igfxtray" и нашел похожий:
c:\WINDOWS.0\Prefetch\IGFXTRAY.EXE-0E4BB9CF.pf

Удалил его и WinPatrol перестал визжать =)
Будто все спокойно. Правда в журнале Системы ошибки об отсутствии неких dll... Пока я с этим не разбирался, думаю теперь просто переустановлю систему.

gmer-лог шлю. Не понятно почему там нельзя прочитать MBR. Но может быть так и должно быть (

PS. Есть,правда еще проблемы с 2-мя разделами на диске: c (система) и D. Возможно, это никак не связано с результатом действий вирусов и антивирусов, тогда проигнорируйте дальнейшее.

1. На диске при проверке всегда находятся ошибки, сразу после лечения и перезагрузки И так каждый раз.

C:\Documents and Settings\Root>chkdsk c:
Тип файловой системы: NTFS.
Метка тома: Система.

ВНИМАНИЕ! Параметр F не указан.
CHKDSK выполняется в режиме только чтения.

Проверка файлов (этап 1 из 3)...
Проверка файлов завершена.
Проверка индексов (этап 2 из 3)...
Проверка индексов завершена.
Проверка дескрипторов безопасности (этап 3 из 3)...
Проверка дескрипторов безопасности завершена.
CHKDSK проверяет журнал USN..
Завершена проверка журнала USN
Исправление ошибок в атрибуте BITMAP основной таблицы файлов.
Исправление ошибок в рисунке тома.
Windows найдены ошибки файловой системы.
Запустите CHKDSK с параметром /F (fix) для их исправления.

18137352 КБ всего на диске.
13725344 КБ в 53755 файлах.
23536 КБ в 5541 индексах.
0 КБ в поврежденных секторах.
178516 КБ используется системой.
65536 КБ занято под файл журнала.
4209956 КБ свободно на диске.

Размер кластера: 4096 байт.
Всего кластеров на диске: 4534338.
1052489 кластеров на диске.

2. На диске D лежали папки с названиями из набора разных букв и цифр.
Как я понял, это результаты каких-то неудачных инсталляций.
Решил удалить, но не тут-то было - внутри некоторых имелось несколько подпапок, которые не удалялись. Я кокнул их Анлокером. Теперь при попытке делать чекдск Д система говорит, что диск используется и можно проверить только при последующей загрузке.

Спасибо за помощь! Думаю, переустановка системы исправит положение.

[thyrex]

Сделайте лог полного сканирования МВАМ

Сделайте лог TDSSkiller

[бУРов]

В логе MBAM 4 пары записей одинаковые. Это две копии профиля "Admin". Он вообще не работающий в системе. Остался от прежней установки скорее всего из-за "Моих документов".

c:\documents and settings\Admin\application data\thinstall\SnagIt 8\4000001100002i\SnagPriv.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\SnagIt 8\40000063000002i\SnagIt32.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\SnagIt 8\400000e00002i\TSCHelp.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\benvista photozoom pro 2.3\4000003fb00002i\photozoom pro 2.exe (Trojan.IRCBot) -> No action taken.

d:\_ЦифМаст\goldsolution.driver.magician.v3.48.mul tilingual.winall.cracked-crd\crd.exe (TheftMarker.Crude) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\4000001100002i\SnagPriv.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\40000063000002i\SnagIt32.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\400000e00002i\TSCHelp.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\benvista photozoom pro 2.3\4000003fb00002i\photozoom pro 2.exe (Trojan.IRCBot) -> No action taken.

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Заражённые файлы:
c:\WINDOWS.0\system32\adjkkof.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\dbgbbno.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\gojdiph.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\iknpmpl.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\iokpbhg.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\ncnlcoi.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\pjelgfp.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS.0\system32\scchost.exe (Backdoor.Bot) -> No action taken.
(Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\SnagIt 8\4000001100002i\SnagPriv.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\SnagIt 8\40000063000002i\SnagIt32.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\SnagIt 8\400000e00002i\TSCHelp.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\Admin\application data\thinstall\benvista photozoom pro 2.3\4000003fb00002i\photozoom pro 2.exe (Trojan.IRCBot) -> No action taken.
c:\documents and settings\root\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
d:\_ЦифМаст\goldsolution.driver.magician.v3.48.multilingual.winall.cracked-crd\crd.exe (TheftMarker.Crude) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\4000001100002i\SnagPriv.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\40000063000002i\SnagIt32.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\SnagIt 8\400000e00002i\TSCHelp.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\application data\thinstall\benvista photozoom pro 2.3\4000003fb00002i\photozoom pro 2.exe (Trojan.IRCBot) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\cleanmgr.exe (Trojan.Agent) -> No action taken.
f:\_ЦифМаст\C\documents and settings\Admin\Admin\local settings\temporary internet files\Content.IE5\DCSHL23I\f9cc9[1].exe (Trojan.Agent) -> No action taken.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены