Подозрение на руткит или на удаленый доступ к системе

[myakawasan]

На файл-сервере, к которому есть доступ у нескольких пользователей, сегодня поудалялись большое количество папок. По сути почти половина. Поскольку удалены были только папки с общим доступом и из личных папок пользователей оказались удалены исключительно мои, то первым делом решил проверить свою систему. НОД32, который работает на машине, ничего не обнаружил при полной проверке.
AVZ при максимальном эвристическом уровне и включенном обнаружении всего что только можно находит с десяток проблем по типу:
Функция ХХХ перехвачена, метод УУУ
Перехватчик ХХХ нейтирализован

И намертво зависает на строке:
Функция ААА перехвачена, метод CodeHijack (метод не определен)

При попытке запустить скрипт поиска и удаления руткитов точно также зависает то ли на этой же строке, то ли на похожей.

Система 64 битная, поэтому вложения из первого пункта из темы "Правила! Читать перед запросом о помощи!" нет. Только два остальных.

[Info_bot]

Уважаемый(ая) myakawasan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_2149\s_inst.exe','');
 QuarantineFile('C:\Users\Andrey\AppData\Roaming\newSI_1\s_inst.exe','');
 QuarantineFile('C:\Users\Andrey\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 DeleteFile('C:\Users\Andrey\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_1.job','32');
 DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_2149.job','32');
 DeleteFile('C:\Users\Andrey\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_4396.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[myakawasan]

Сделано. Но архив карантина не получается прикрепить. Пишет, что уже прикреплен. Может быть прикрепился уже, просто что-то у меня глючит, в любом случае архив пустой.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[myakawasan]

Готово

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-3146266337-3503080819-1321305236-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3e9eff62ae88950bf1e9740c7c97d8a3&text={searchTerms}
HKU\S-1-5-21-3146266337-3503080819-1321305236-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3e9eff62ae88950bf1e9740c7c97d8a3&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3146266337-3503080819-1321305236-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3e9eff62ae88950bf1e9740c7c97d8a3&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3146266337-3503080819-1321305236-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3e9eff62ae88950bf1e9740c7c97d8a3&text=
FF NetworkProxy: "http", "127.0.0.1"
FF NetworkProxy: "http_port", 4444
FF NetworkProxy: "socks_version", 4
FF NetworkProxy: "ssl", "127.0.0.1"
FF NetworkProxy: "ssl_port", 4445
FF NetworkProxy: "type", 1
CHR Extension: (MusicSig vkontakte) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2015-07-12]
OPR Extension: (Скачивание с Вконтакте) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2014-12-25]
Task: {00AD5600-4C18-4E62-928B-D7F7B393BADA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {1F443D09-B244-4AB8-8BAB-59B457324121} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {21FEE389-7312-4F4D-84C3-4C76049EA752} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {4101FF0D-10F2-4415-AB7B-A774958D81DC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {67179C7F-F9D2-421E-BDA4-117803B003B6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {71AC6DC8-7957-42EF-9EB8-58666128A121} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {C96D79AC-2308-4322-8D4F-B1A7B514E647} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {CB20476B-8C49-4999-AD3D-B44751CD88CE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {DDA107FF-D0CD-46B7-9D10-63C6446D6E07} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {DF2BD0BF-7593-42C2-957A-3113C61F2885} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {F252939E-9CF2-4BBD-9A53-0C930F8911FF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[myakawasan]

Готово

[thyrex]

Теперь порядок