Очень жесткий Trojan. HELP!! Из под винды не видно ничего - только при загрузке со стороннего носителя!

[ScorpiOz]

Добрый день!

Помогите пожалуйста. У нас офис - 7 пк. Все компьютеры офисные + домашние компьютеры подключенные к тому же облаку гугл диск и onedrive + мобильные телефоны на android и windows phone были инфицированы вирусом. На ПК стоял Eset Nod 32 Internet Security - даже не пискнул.

Проверяли всеми возможными антивирусами.. из под интерфейса Windows 10 вообще не один антивирус ничего не видит (включая AVZ).
При запуске с флешки (вирус начинает топтать и Windows на флешке автоматически). При этом ни каспер, ни их утилита для удаления вирусов, ни нод 32, ни доктор веб ничего не видят - AVZ увидела несколько троянов.. единственная кто что-то увидела.

Прошу помочь, Друзья, вылечить компьютеры, и затем настроить систему защиты (политики), чтобы не возможно было больше такое сделать.

Вирус работает c правами Trusted Instuller.

Откуда взялся не знаю. Обнаружили, когда он на нашем сайте расположенном на хостинге fvds.ru, зашел и заменил некоторые ссылки на ссылки ведущие на порносайт. Мы сразу же сменили пароль, убрали ссылку, а по логам увидели удивительную вещь - изминения производитились не через FTP а через web-интерфейс хостинга (через браузер). Это уже похоже больше на работу
человека.. или что это за программа которая интеллектуально понимает интерфейс...

В общем просьба помочь. Друзья, кто находится в Москве, было бы идеально чтобы вы лично посмотрели это и помогли со всем разобраться - мы в долгу не останемся. В личку присылайте мобильный или спрашивайте - отправлю свой - кто может помочь лично.
Удаленная помощь также приветствуется.

Прилагаю файлы скана AVZ и HiJacj
Также прилагаю архив папки etc (где храниться файл хост) потому что HiJack при проверки ругалась на этот файл что нужно удалить там строчку связанную с ней, но там такой строчки нет.. зато много всякого есть (если это чем-то поможет).

ЛОГ AVZ при запуски с флешки что интересного нашло:
ПОДОЗРЕНИЕ НА ВИРУСЫ:
C:\Program Files\WindowsApps\.ru..ru_1.7.4.1_x64__n0sw85aeb90 08\Assets\Emblems\scale-100\emblem_61.png >>> подозрение на Trojan-Downloader.Win32.Small.dmx
C:\Users\Дмитрий\AppData\Local\Packages\Microsoft. WindowsAlarms_8wekyb3d8bbwe\Microsoft.WindowsAlarm s_10.1512.58020.0_x64__8wekyb3d8bbwe\ActivationSto re\ActivationStore.dat >>> подозрение на Packed.Win32.Krap.af
C:\Windows\System32\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql
C:\Windows\SysWOW64\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql
C:\Windows\WinSxS\amd64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1542e42400ba4695\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql
C:\Windows\WinSxS\wow64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1f978e76351b0890\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql

ФАЙЛ С ИЗМЕНЕННЫМ РАСШИРЕНИЕМ:
C:\Program Files (x86)\Microsoft Office\Updates\Apply\FilesInUse\office.odf.f274cfb .bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Windows\System32\chcp.com - PE файл с измененным расширением, допускающим запуск (степень опасности 35%)
C:\Windows\System32\format.com - PE файл с измененным расширением, допускающим запуск(степень опасности 35%)
C:\Windows\System32\mode.com - PE файл с измененным расширением, допускающим запуск(степень опасности 35%)
C:\Windows\System32\more.com - PE файл с измененным расширением, допускающим запуск(степень опасности 35%)
C:\Windows\System32\tree.com - PE файл с измененным расширением, допускающим запуск(степень опасности 35%)
C:\Windows\SysWOW64\chcp.com - PE файл с измененным расширением, допускающим запуск(степень опасности 35%)
C:\Windows\SysWOW64\format.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\SysWOW64\mode.com - PE файл с измененным расширением, допускающим запусr
C:\Windows\SysWOW64\more.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\SysWOW64\tree.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\amd64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_b30e7b0b 3450c60a\format.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\chcp.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\mode.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\more.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\tree.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\wow64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_bd63255d 68b18805\format.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\chcp.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\mode.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\more.com - PE файл с измененным расширением, допускающим запуск
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\tree.com - PE файл с измененным расширением, допускающим запуск

А это полный ЛОГ AVZ при анализе с флешки:
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 05.03.2016 20:26:24
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.03.2016 16:00
Загружены микропрограммы эвристики: 408
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 1009253
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.2.9200, "Windows 8.1 Enterprise" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FA26DA->76E6C761
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FA270D->76E6C785
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (X:\SystemRoot\system32\ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 6
Процесс x:\program files\hotvirtualkeyboard\hvk.exe Может работать с сетью (wininet.dll)
Процесс x:\programs\aida64\aida64.exe Может работать с сетью (netapi32.dll,ws2_32.dll)
Количество загруженных модулей: 91
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\WindowsApps\.ru..ru_1.7.4.1_x64__n0sw85aeb90 08\Assets\Emblems\scale-100\emblem_61.png >>> подозрение на Trojan-Downloader.Win32.Small.dmx ( 0EB22CEB 0F209748 002701F4 00000000 8812)
Файл успешно помещен в карантин (C:\Program Files\WindowsApps\.ru..ru_1.7.4.1_x64__n0sw85aeb90 08\Assets\Emblems\scale-100\emblem_61.png)
C:\Program Files (x86)\Microsoft Office\Updates\Apply\FilesInUse\office.odf.f274cfb .bak - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files (x86)\Microsoft Office\Updates\Apply\FilesInUse\office.odf.f274cfb .bak)
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\DownloadedScena rios\WINDOWS.PERFTRACKPOINTDATA.xml
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\DownloadedScena rios\WINDOWS.SIUF.xml
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\DownloadedScena rios\WINDOWS.UIF.xml
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\DownloadedSetti ngs\telemetry.ASM-WindowsDefault.json
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\DownloadedSetti ngs\utc.app.json
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\events01.rbs
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\events10.rbs
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\events11.rbs
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\parse.dat
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\SoftLanding\c1f 980d0-1f88-4c28-9576-4a05991e3569_show.xml
Прямое чтение C:\ProgramData\Microsoft\Diagnosis\SoftLanding\c1f 980d0-1f88-4c28-9576-4a05991e3569_withdraw.xml
Прямое чтение C:\ProgramData\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_U\LockScreen___1366_0768_no tdimmed.jpg
Прямое чтение C:\ProgramData\Microsoft\Windows\SystemData\S-1-5-18\ReadOnly\LockScreen_V\LockScreen___1366_0768_no tdimmed.jpg
Прямое чтение C:\ProgramData\Microsoft\Windows Defender\Scans\History\CacheManager\MpScanCache-0.bin
Прямое чтение C:\Users\scorp_000\AppData\Local\Temp\~DFE62E78421 767FD30.TMP
C:\Users\Дмитрий\AppData\Local\Packages\Microsoft. WindowsAlarms_8wekyb3d8bbwe\Microsoft.WindowsAlarm s_10.1512.58020.0_x64__8wekyb3d8bbwe\ActivationSto re\ActivationStore.dat >>> подозрение на Packed.Win32.Krap.af ( 001939F6 00000000 0014837A 0016BD2C 3276
Файл успешно помещен в карантин (C:\Users\Дмитрий\AppData\Local\Packages\Microsoft .WindowsAlarms_8wekyb3d8bbwe\Microsoft.WindowsAlar ms_10.1512.58020.0_x64__8wekyb3d8bbwe\ActivationSt ore\ActivationStore.dat)
Прямое чтение C:\Windows\Resources\Themes\aero\VSCache\Aero.msst yles_1049_96.mss
Прямое чтение C:\Windows\Resources\Themes\aero\VSCache\Aero.msst yles_1049_96_01.mss
Прямое чтение C:\Windows\Resources\Themes\aero\VSCache\AeroLite. msstyles_1049_96.mss
C:\Windows\System32\chcp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\System32\chcp.com)
C:\Windows\System32\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
Файл успешно помещен в карантин (C:\Windows\System32\drivers\gm.dls)
C:\Windows\System32\format.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\System32\format.com)
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Rec overy.dat
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Rec overy.dat.LOG1
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Rec overy.dat{a9a9fbea-507e-11e5-827d-0025d3ae2e78}.TM.blf
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Rec overy.dat{a9a9fbea-507e-11e5-827d-0025d3ae2e78}.TMContainer00000000000000000001.regt rans-ms
Прямое чтение C:\Windows\System32\Microsoft\Protect\Recovery\Rec overy.dat{a9a9fbea-507e-11e5-827d-0025d3ae2e78}.TMContainer00000000000000000002.regt rans-ms
C:\Windows\System32\mode.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\System32\mode.com)
C:\Windows\System32\more.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\System32\more.com)
C:\Windows\System32\tree.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\System32\tree.com)
C:\Windows\SysWOW64\chcp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\chcp.com)
C:\Windows\SysWOW64\drivers\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\drivers\gm.dls)
C:\Windows\SysWOW64\format.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\format.com)
C:\Windows\SysWOW64\mode.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\mode.com)
C:\Windows\SysWOW64\more.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\more.com)
C:\Windows\SysWOW64\tree.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\SysWOW64\tree.com)
C:\Windows\WinSxS\amd64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_b30e7b0b 3450c60a\format.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_b30e7b0b 3450c60a\format.com)
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\chcp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\chcp.com)
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\mode.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\mode.com)
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\more.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\more.com)
C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\tree.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_09a2860011abc7ac\tree.com)
C:\Windows\WinSxS\amd64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1542e42400ba4695\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
Файл успешно помещен в карантин (C:\Windows\WinSxS\amd64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1542e42400ba4695\gm.dls)
C:\Windows\WinSxS\wow64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_bd63255d 68b18805\format.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\wow64_microsoft-windows-format_31bf3856ad364e35_10.0.10586.0_none_bd63255d 68b18805\format.com)
C:\Windows\WinSxS\wow64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1f978e76351b0890\gm.dls >>> подозрение на Trojan-Downloader.Win32.Geral.sql ( 04620754 0CF4B604 000F08CC 000CF46D 3440660)
Файл успешно помещен в карантин (C:\Windows\WinSxS\wow64_multimedia-generalmididata_31bf3856ad364e35_10.0.10586.0_none _1f978e76351b0890\gm.dls)
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\chcp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\chcp.com)
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\mode.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\mode.com)
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\more.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\more.com)
C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\tree.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft-windows-m..ommandlineutilities_31bf3856ad364e35_10.0.10586 .0_none_ad83ea7c594e5676\tree.com)
Прямое чтение E:\e52c4e5e9e0cee74cacb2332dedc\MPSigStub.exe
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP NameSpace: "@%SystemRoot%\system32\napinsp.dll,-1000" --> отсутствует файл X:\windows\system32\napinsp.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\pnrpnsp.dll,-1000" --> отсутствует файл X:\windows\system32\pnrpnsp.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\pnrpnsp.dll,-1001" --> отсутствует файл X:\windows\system32\pnrpnsp.dll
Ошибка LSP NameSpace: "@%SystemRoot%\system32\nlasvc.dll,-1000" --> отсутствует файл X:\windows\system32\NLAapi.dll
Ошибка LSP NameSpace: "@%SystemRoot%\System32\winrnr.dll,-1000" --> отсутствует файл X:\windows\System32\winrnr.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 5
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
X:\windows\SYSTEM32\ntdll.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\ntdll.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\KERNEL32.DLL --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\KERNEL32.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\advapi32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\advapi32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\comdlg32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\comdlg32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\gdi32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\gdi32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\ole32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\ole32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\shell32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\shell32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\user32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\user32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\version.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\version.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\wininet.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\wininet.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\winspool.drv --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\winspool.drv>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\wsock32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\wsock32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\msvcrt.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\msvcrt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\sechost.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\sechost.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\RPCRT4.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\RPCRT4.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\SHLWAPI.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\SHLWAPI.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\combase.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\combase.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\iertutil.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\WS2_32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\WS2_32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\SspiCli.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\SspiCli.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\CRYPTBASE.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\CRYPTBASE.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\SHCORE.DLL --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\SHCORE.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\system32\IMM32.DLL --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\system32\IMM32.DLL>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиатуры
3. Опрашивает активную раскладку клавиатуры
X:\windows\system32\IMM32.DLL>>> Нейросеть: файл с вероятностью 0,00% похож на типовой перехватчик событий клавиатуры/мыши
X:\windows\system32\MSCTF.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\system32\MSCTF.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
X:\windows\system32\MSCTF.dll>>> Нейросеть: файл с вероятностью 0,00% похож на типовой перехватчик событий клавиатуры/мыши
X:\windows\system32\uxtheme.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\system32\uxtheme.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\system32\dwmapi.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\system32\dwmapi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\Program Files\HotVirtualKeyboard\hvkH.dll --> Подозрение на Keylogger или троянскую DLL
X:\Program Files\HotVirtualKeyboard\hvkH.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
X:\Program Files\HotVirtualKeyboard\hvkH.dll>>> Нейросеть: файл с вероятностью 0,00% похож на типовой перехватчик событий клавиатуры/мыши
X:\windows\SYSTEM32\kernel.appcore.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\kernel.appcore.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\RICHED32.DLL --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\RICHED32.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\RICHED20.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\RICHED20.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
2. Опрашивает состояние клавиш
X:\windows\SYSTEM32\RICHED20.dll>>> Нейросеть: файл с вероятностью 0,00% похож на типовой перехватчик событий клавиатуры/мыши
X:\windows\SYSTEM32\USP10.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\USP10.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\msls31.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\msls31.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\SETUPAPI.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\SETUPAPI.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\clbcatq.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\clbcatq.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\system32\propsys.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\system32\propsys.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\profapi.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\profapi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\WindowsCodecs.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\WindowsCodecs.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\wintrust.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\wintrust.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\Windows\SYSTEM32\thumbcache.dll --> Подозрение на Keylogger или троянскую DLL
X:\Windows\SYSTEM32\thumbcache.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\HHCTRL.OCX --> Подозрение на Keylogger или троянскую DLL
X:\windows\SYSTEM32\HHCTRL.OCX>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\PSAPI.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\PSAPI.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
X:\windows\SYSTEM32\Secur32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\Secur32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\SYSTEM32\Secur32.dll)
X:\windows\SYSTEM32\RASAPI32.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\RASAPI32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\SYSTEM32\RASAPI32.dll)
X:\windows\SYSTEM32\rasman.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\rasman.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\SYSTEM32\rasman.dll)
X:\windows\SYSTEM32\rtutils.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\rtutils.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\SYSTEM32\rtutils.dll)
X:\Windows\System32\rasadhlp.dll --> Подозрение на Keylogger или троянскую DLL
X:\Windows\System32\rasadhlp.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\Windows\System32\rasadhlp.dll)
X:\windows\System32\fwpuclnt.dll --> Подозрение на Keylogger или троянскую DLL
X:\windows\System32\fwpuclnt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\System32\fwpuclnt.dll)
X:\windows\SYSTEM32\urlmon.dll --> Подозрение на Keylogger (опасно: DLL имеет системное имя, но расположена не в системной папке)
X:\windows\SYSTEM32\urlmon.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (X:\windows\SYSTEM32\urlmon.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 6 TCP портов и 0 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell: "winpeshl.exe"
Опасно - отладчик процесса "taskmgr.exe" = ""X:\Program Files\ProcessHacker\ProcessHacker.exe""
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-26
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Обнаружен отладчик системного процесса
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Нарушена настройка отображения иконок расшаренных ресурсов
Проверка завершена
Просканировано файлов: 619133, извлечено из архивов: 303843, найдено вредоносных программ 0, подозрений - 6
Сканирование завершено в 05.03.2016 21:52:12
Сканирование длилось 01:25:50
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

[Info_bot]

Уважаемый(ая) ScorpiOz, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Проверка AVZ (к тому же устаревшей версии) не имеет смысла.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[ScorpiOz]

Все как Вы сказали сделал - скан из под локал систем в приложении.

Закончилось место на форуме, не могу больше файлы прикреплять, поэтому в облаке выкладываю архив при скане из под текущего пользователя:
https://cloud.mail.ru/public/6WvS/KjWfCNwhB

- - - - -Добавлено - - - - -

Подскажите, что дальше?

[Vvvyg]

Пока никаких следов вируса на этом компьютере не видно.

Рекомендую удалить программу DriverDoc.

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
regt 27
regt 5
deltmp
restart

Компьютер перезагрузится.

Подключите проблемную флэшку (автозапуск будет отключён скриптом) и сделайте лог сканирования МВАМ, отметьте для проверки все диски, включая флэшку.

[ScorpiOz]

Я знаю что он никак себя не показывает (в этом то и дело). Вот ссылка на сканирование этой проги с перезагрузкой ПК,
https://cloud.mail.ru/public/6WvS/KjWfCNwhB (но мне кажется картина не особо изменилась)...

(где она всю автозагрузку сканирует). Винда так-то стоит лицензионная, а получается куча системных файлов без указания Производителя и цифровых подписей - такого быть не может априори.

Щас загружусь с флешки (сборка WinPE) оттуда картина другая будет, и также прогу Ваше запущу... отпишу.

[Vvvyg]

Тогда уж делайте вот так, только загрузившись со своего LiveCD, UVS тот же запускайте. Нужен именно образ неактивной системы, что там творится в загруженной с CD неинтересно совершенно.

[ScorpiOz]

Попробовал сделать как вы просили, вот ссылка на отчеты:
https://cloud.mail.ru/public/2PLK/uTCzzFeHy

, посмотрите получилось или нет - потому что вроде бы все равно что-то мешает..
в процессе сканирования uVS при формировании образа автозапуска выключается на секундочку служба cryptoчто-то там (отвечающая за цифровые подписи программ и их подмену) и перезапускается сразу.. (я думаю это не с проста).

Что касается антивируса этого malwarebytes.org - он ничего не видит из системы если запускать.. при запуске с CD не запускается почему-то.
Пишет что не находит dll какой-то. Пробовал также запускать через функцию Cameleon (где антивирус маскируется от вирусов). Запускается командная строка, но все равно выдает ошибку... вирус-сука не дает запуститься и таким образом

- - - - -Добавлено - - - - -

Может я что-то не так сделал.

Что значит "проблемная флэшка" ?

Это подключенное устройство (флэшка или dvd диск) c которого мы загружаемся с другой операционной системы? (не инфицированной)
Если да - то я так и делал - прога не запускается (не находит dll какой-то).

[Vvvyg]

Ничего вирусоподобного в системе. C LiveCD даже буткит было бы видно.

[ScorpiOz]

Такого не может быть...
Посмотрите пожалуйста еще вот этот отчет AVZ
Также прикладываю анализ МБР области.
https://cloud.mail.ru/public/JMEF/6DZptqhXE

Пароль от архива 1221

[Vvvyg]

MBR у меня в базе проверенных.
В карантине множество безобидных файлов.
Текстовый лог AVZ, сделанный из-под LiveCD не несёт полезной информации, писал уже выше.
Реальных признаков заражения нет, только Ваши подозрения, основанные на неумении пользоваться AVZ и интерпретировать его логи.