Здравствуйте. История уже довольно долгая.

Macbook Air '13
Windows 7 SP1 Максимальная (Boot Camp)
Сборка 7601 - нелицензионная, узнала недавно)
Разрядность x64

Очень прошу помощи специалиста. Уже обращалась на другой форум, где не помогли. В особенности мешают: уменьшение места на диске и тормоза, куча ошибок системы. Много делала сканов системы антивирусами, постоянно находится что-то новое. В том числе полноценно повторно просканировала Dr. Web Curelt! и сделала скан HiJackThis. Я приложу логи HJT пока что, взгляните пожалуйста, не знаю какие нужно сделать. Напишите что да как, а то я без понятия.

1). Заметила, что в общем доступе все основные папки, в том числе ICP ($ICP) расшаренные. Также шара - С, Users, Print и т.д.
2) Через WinDirStat увидела, что неизвестные пользователи (s-1-....) - владельцы некоторых папок это названия нескольких вложенных корзин в $RECYCLEBIN, которые не удаляются (потом восстанавливаются), был случай - корзина не заполнялась, обычные файлы видимо куда-то мимо улетали.
3) В списке процессов присутствует svchost.exe из папки С:\Windows\erdnt (cashe 64/86), который грузит систему.
4) В логах HJT множество файлов из системной папки утеряно (скорее всего подменены).
5) Появились проблемы с загрузкой (не отображается выбор безопасного режима), еще до этого были проблемы с драйверами. В итоге, пыталась восстановить загрузочные файлы системы (не помню название программы), скачала пакет BootCamp (с оф. сайта Apple) - восстановила полностью и также обновила (установила) все драйверы, хоть проблемы с драйверами ушли (раньше было постоянно: ошибка инициализации 39, и понятное дело - ничего не обновлялось), проверяла ComboFix, во время переустановки установились несколько обновлений Windows Defender... И самое печальное, оказалось у меня нелицензионная Винда. ЭТО ПЕЧАЛЬ. Устанавливали специалисты в известном центре, но видимо - "специалисты". Но не суть, скачаю архиватор, не в этом проблема, а в вирусне))

Было несколько скрытых папок на флешке, весомые файлы .bin в разных папках пользателя, после восстановлений - кроме драйверов, обновилась панель управления, добавились службы, и системные приложения. Много новых папок на диске C, причем либо они скрытые, либо со значками ярлыка. Ни к какой из них у меня нет доступа. В настройках сети были установлены не мои разрешения с удаленным доступом. Еще странный момент: появилась на диске C скрытая папка Documents and Settings, и как я знаю, на 7ке её не должно быть.

Проверяла оба раздела жесткого диска и флешку.

Спасибо.

ПРИВЕТ . Сделайте логи по правилам. http://forum.oszone.net/thread-98169.html

Здравствуйте, спасибо.

Возможно это файловое заражение, но логи сделать не могу, т.к. нет дисковода.)

Здравствуйте!

1. Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.



Компьютер перезагрузится.

2. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.


3. Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Сделала, прикрепляю. Извините, не могу, два остальные превышают допустимый размер. Тогда может мне иначе выложить, через Google Drive например?

Упакуйте архиватором и прикрепите.

Вот.)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File
AlternateDataStreams: C:\Windows\Logs:Defender.log [0]
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
AlternateDataStreams: C:\Windows\system32\msln.exe:10e9d6ee7942bf1be131a72e40cd7b9c [430]
AlternateDataStreams: C:\Windows\SysWOW64\GameMon.des:gcdigest0 [82]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
http://dragokas.com/tools/FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Сделала)

Какие проблемы сейчас остались?

В общем-то, в планировщике заданий ошибка, которая после вируса появилась. Выбранная задача "{0}" больше не существует. Чтобы просмотреть текущие задания, нажмите "Обновить". Ну и после "Обновить" она всё равно высвечивается.

И еще меня волнует, что при подключении каждого нового носителя создаются 3 скрытые папки и файл:

.fseventsd
.Spotlight-V100
.Trashes

._.Trashes

Раньше такого не наблюдала (до вируса).

Сделайте и прикрепите лог сканирования MBAM (https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/).
Сканирование делайте с подключенной флэшкой.

MBAM у меня вирусы никогда не находил) Неделю каждый день проверяла)) Сейчас пишет опять, что угроз не обнаружено. Потому могу скинуть сводку, а не лог.

при подключении каждого нового носителя создаются 3 скрытые папки и файл »
Где они создаются?

В самом начале файловой системы. Возможно так и нужно, но я не знаю точно)

В самом начале файловой системы »
Пожалуйста, уточните: в корне диска C:, на Рабочем столе или где-то еще?

Только на флешке. Точнее на 2х флешках и сегодня на карте MicroSD через картридер. Насчет самой системы - не знаю, по крайней мере в очевидных местах вроде рабочего стола или на диске C - не видела.

Я нашла очень подозрительную вещь. Скину скриншот) ctfmon.exe находится почему-то в нескольких системных папках. На рабочий стол внимания не обращайте, это я скопировала из system32, так как языковая панель сама не запускается при загрузке системы.

Вот, у меня не редактятся сообщения. Кстати, тот, что в windows32 и половина остальных весит 9,5 Кб, а вот другая половина - 8,5 Кб(

Точнее на 2х флешках »
Значит они - проблемные.

языковая панель сама не запускается »

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','ctfmon.exe', GetEnvironmentVariable('WinDir')+'\system32\ctfmon.exe');
RebootWindows(false);
end.


Компьютер перезагрузится.

Сообщите результат.