Не выгружается драйвер AVZPM в Win-7 + др.

[anpspb]

В связи с неработоспособностью AutoLogger.exe приложенные файлы подготовлены вручную (комменты ниже), но прошу принять заявку в работу.

Комменты
Инструкция по оформлению запроса о помощи (страница https://virusinfo.info/content.php?r=136-pravila, Инструкция-2) неработоспособна по причине:
-данная программа AutoLogger.exe автоматически после перезагрузки ПК НЕ запускается, а также выгрузка из системы драйвера AVZPM НЕ происходит (AVZ запускался неоднократно как из AutoLogger-а, так и вручную, в т.ч. с применением приема переименования файла в "pp.com");
- альтернативные способы сбора информации для хелперов в соответствии с ранее имевшейся на сайте Virusinfo инструкцией (Инструкция-1) по _ручному_ сбору информации на странице с Инструкцией-2 отсутствуют;
-в поиске по сайту найти прежнюю Инструкцию-1 не удалось.
В связи с этим к настоящей заявке приложены файлы, полученные вручную после чтения инструкции.

Причина обращения
----------------------------
На моноблоке Сони-Vaio VGC-LM (Intel Core 2 Duo T7250 32b@2ГГц, 2 Гб RAM) от 2007 г. установлены две лицензионные ОС (Vista и Win7). В Висте уже давно замечено периодическое самопроизвольное отключение Wifi-адаптера. Есть также явное замедление реакции (об этом делал запрос на форум: http://forum.oszone.net/thread-306521.html ). Тщательное сканирование спец. утилитами KAV и CureIT зловредов не выявило. А т.к. налицо старение HDD (желтый уровень SMARTа), то он был заменен на новый диск 1000Гб.

После замены HDD и переноса Акронисом образов ОС (см. http://forum.oszone.net/thread-331802.html ) "тормоза" сохранились, а также попытка послать жалобу на фишинг через форму на профильном антифишинговом сайте оказалась безуспешна. В связи с подозрением на вирус была проведена проверка с помощью AVZ (файл не запускался, пришлось переименовать в pp.com) c последующей чисткой RogueKiller OnlineScanner и ESET OnlineScanner. Обнаружено и удалено много PUPs и троянец. Затем установлен временно Panda-Cloud-Antivirus-Free-Edition, скачанный с download.cnet.com.

Через 20 часов опять заметно замедление, проверка теми же сканерами показало опять наличие 6 троянцев + PUPs-ы. VirusTotal показал наличие разных подозрительных гадостей в PandaSafeWeb.exe (23/65: трояны, Adware, Suspicious, PUP, PUA ), после чего Панда был удален из системы, соответствующее сообщение оставлено для сообщества на сайте ViruTotal-а.
Детектирование системы с помощью CyberHelper не показало наличие зловредов: https://virusinfo.info/virusdetector...FE6943D3F2018A

В настоящее время при работе под ОС Win-7:
1) avz запускается, но драйвер AVZPM не выгружается из системы;
2) avz показывает красным один из драйверов (tunnel.sys) в пространстве ядра (скриншот redmark.jpg подготовлен, но НЕ представлен в архиве во избежание закрытия заявки);
3) при одной из более ранних проверок в AVZ также красной строкой в пространстве ядра был помечен wifi-драйвер athr.sys и одновременно он же отображался зеленым строкой ниже!
4) замедления в работе после последней чистки "на глаз" не заметно;
5) масса сообщений о маскировке процессов в AVZ;

Что хотелось бы от специалистов-хелперов:
----------------------------------------------------
1) просмотреть логи на предмет зловредов и имеющейся маскировки процессов опытным _человеческим_ взглядом;
2) дать заключение относительно незараженности системы и советы по лечению в противном случае;
3) дать совет по выгрузке драйвера AVZPM;
4) дать совет по проверке сетевых подключений, антивирусной профилактике и на предмет возможных "дыр" безопасности и блокировки проникновения "троянцев", ботов и пр. нечисти в будущем.

Заранее спасибо!

[Info_bot]

Уважаемый(ая) anpspb, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

1) Соберите отчёты согласно пункту

Во время работы AutoLogger вылезла ошибка, он прервал свою работу не отработав до конца. Что мне делать?

2) Попробуйте собрать логи этой версией Автологера.

[anpspb]

Другая версия Логгера (п.2. Вашего ответа) после его перезагрузки с целью выгрузки AVZPM также не запускается.(Кстати: исполняемый файл недавно установленного веб-редактора BlueGriffon перестал запускаться на момент "до старта Логгера".) При запуске AVZ из Логгера получил сообщение о повышении привилегий. После перезагрузки ОС никаких сообщений о возобновлении работы Логгера или старта вызываемых им утилит не получил. Произвел проверку запуска BlueGriffon-а - стал запускаться.
Послаю ссылку малюсенький архив формата zip на файлообменнике (https://yadi.sk/d/nKYNH2Vs3UAsSd) с результатами Логгера, в который добавил и avz_log.txt, полученный после запуска скрипта в AVZ в соответствии с рекомендациями п.1. Вашего ответа.
Файлообменник использован в связи с _отсутствием_ активной кнопки "Вложение" на панели редактора "быстрого ответа".

[anpspb]

Уважаеме Хелперы! Может быть, можно вручную запустить все нужные для вашего анализа программы, как это делалось раньше, согласно прежней инструкции, и как я сделал это сейчас в первом посте в условиях неработоспособности Autologger-a? Время идет, работать надо, а в системе явно какие-то проблемы.
За прошедшее время сделано:
-установлен постоянно Kaspersky Free, с 03.04 проведены быстрая проверка и поиск Руткитов, угроз не найдено;
-запуск скрипта в AVZ от AndreyKa (http://df.ru/~kad/ScanVuln.txt) для обнаружения наиболее часто используемых уязвимостей и по результатам этого анализа удаление Silverlight 5.1.40728.0 и установка обновлений безопасности для IE и SMB Server;
-попытка установки на второй ОС Виста программы Kasperky free и проверки компа ею. Не удалось - процесс скачивания и установки программы "завис", не завершив работу в течение оставшихся 5 секунд на этапе установки .Net Framework 4.0! Причем эти "5 секунд" длились всю ночь с 2:49 до 11:15! Обнаружена причина: не устанавливается .NET Framework, видимо в связи с запускающейся "вшитой" функцией обновления Висты (период поддержки которой закончен);
-поиск в Инете инфо по проблеме, касающейся выгрузки из памяти якобы ранее установленного AVZPM - безрезультатно.

Т.е. нужен, IMHO, достаточно глубокий анализ хелпером и желательно на основании ранее представленных файлов (в которых есть все то, что собирается Логгером) без бесплодных попыток формально повторять шаги по Инструкции в условиях невозможности перезапуска Autologger-a после перезагрузки ОС.

[regist]

anpspb,
1) Для того чтобы разобраться почему у вас нормально не отрабатывает, пожалуйста соберите дебаг-логи запустив Автологер с ключом -! debug=y, а потом снова соберите репорты его работы. Подробней читайте читайте в FAQ.

2) После этого, можете прямо до перезагрузки, чтобы лишний раз не перезагружать выполните скрипт AVZ

Код:

var
Lines : TStrings;
i     : integer;
begin
Lines := TStringList.Create;
SearchFiles(NormalDir('%System32%\drivers'), '*.sys', Lines, true, false);
for i := 0 to Lines.Count-1 do
  if CalkFileMD5(Lines[i]) = 'D565AD44C6C4D934AFAD3CA4196B09AA' then begin
   AddToLog('Найден драйвер AVZPM, файл '+Lines[i]);
   DeleteFile(Lines[i]);
   ExecuteSysClean;
  end;
  Lines.Free;
SaveLog(GetAVZDirectory+'AVZPM.log');
RebootWindows(false);
end.

3) После этого соберите логи по правилам. Уже должно нормально отработать.

UPD. пункт №1 выполнять не обязательно. Проверил у себя в репорты там всё равно по этой проблеме ничего интересного попасть не успевает.
Скрипт для удаления драйвера обновил. Теперь после его выполнения в папке с AVZ будет файл AVZPM.log в котором будут записаны результаты работы скрипта. Прикрепите его к сообщению.

[anpspb]

Regist, спасибо! Прошу прощения за задержку с ответом.
Сегодня сделано:
1.Запущен Логгер и получен лог report-debug1.log.
После этого запущен скрипт в AVZ (входящий в состав пакета Логгера), который работал около 1,5 минут, выдал 2 "красных" сообщения об ошибке (невозможно выгрузить драйвер AVZPM, имеющий сложное имя и находящийся в библиотеке system32/...). Возникло подозрение, что к драйверу AVZPM "присосался" руткит...
2. После этого вроде бы появилось сообщение о необходимости перезагрузки и возможности ее отложить. Но остановки не наблюдалось, поэтому результаты работы AVZ вручную сохранить в файл протокола не удалось (а автоматически созданы не были?!), только успел остановить автоматическую перезагрузку.
Однако не уверен, что порядок был именно такой, т.к. меня в этот момент как назло отвлекли!
3. После этого еще раз запустил AVZ (cвою версию, ранее переименованную в pp.com, обновил базы) и выполнил вторично присланный скрипт. В этот раз также было "красное" предупреждение, но предупреждения о перезагрузке не последовало, и система вышла на перезагрузку сама. Остановить ее не успел.
4. После перезагрузки и входа в пользовательский аккаунт USER (с паролем) никакие приложения автоматически не
запускались.
5. Поэтому вручную выполнил запуск Логгера повторно (без ключа отладки) в режиме непосредственного перехода к выполнению скрипта #2 как указано в FAQ по Логгеру.
6. Выполнились предусмотренные приложения, получен файл CollectionLog-2018.04.10-20.47.zip и в той же директории с тем же
временем создания появился файл report2.log. Его также прикладываю вместе с самым первым отчетом report-debug1.log.
Спасибо!

- - - - -Добавлено - - - - -

Вдогонку.
После отсылки ответа вновь запустил AVZ для определения имени проблемного файла, предварительно отключив перезагрузку. Получил сообщения:

Найден драйвер AVZPM, файл C:\Windows\system32\drivers\uzi0oty2.sys
Удаление файла: C:\Windows\system32\drivers\uzi0oty2.sys
>>>Для удаления файла C:\Windows\system32\drivers\uzi0oty2.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Найден драйвер AVZPM, файл C:\Windows\system32\drivers\uzi0oty2.sys.sys
Удаление файла: C:\Windows\system32\drivers\uzi0oty2.sys.sys
>>>Для удаления файла C:\Windows\system32\drivers\uzi0oty2.sys.sys необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ

После этого, не перегружаясь, в каталоге system32\drivers\ действительно обнаружил эти файлы и третий с расширением .AVZorVIR, и вспомнил, что когда-то давно "подозревал" файл uzi0oty2.sys и скопировал его еще раз как uzi0oty2.sys.sys.
После удаления последнего командой остановки и выгрузки и перезагрузки ОС очередной запуск AVZ показал, что драйвер по-прежнему в памяти...

[regist]

1) Ничего не надо там самостоятельно отменять (я про перезагрузки) или что-либо менять в настройках. Вообще вся ваша проблема изначально из-за того что вы своими шаловливыми руками залезли и включили AVZPM. Не включили бы вы его не было бы проблемы с его отключением.
2) Репорты стоило собрать скриптом. Он есть и в FAQ и вы его уже выполняли в посте №3. Только тогда достачно было просто прикрепить архив Report.7z
3) Судя по логу AVZ у вас до сих пор включён AVZPM. Так что попробуйте ещё раз повторить рекомендации из поста №6. Только на этот раз дайте нормально отработать программам. Не надо ничего отменять, прерывать и т.д. Вручную что-то сохранять в текстовый файл тоже не надо.

- - - - -Добавлено - - - - -

+ у вас установлено

Код:

C:\Program Files\Panda Security URL Filtering\uninstall.exe

Реальаная польза от этой проги есть? И разные антивирусные программы обычно конфликтуют, так что советую её удалить.
+ Видно в реестре остатки от др. Веб. Советую дочистить по этой инструкции.

[anpspb]

Здравствуйте, regist, спасибо за очередное сообщение!
По семейным обстоятельствам не смог раньше заняться антивирусами и ответить, простите.

По поводу ПАНДЫ - давно убрана, осталось, действительно, почистить систему, сегодня сделаю.

Итак, на настоящий момент проблема решена и вот как это получилось.

До получения Вашего последнего сообщения пробовал по Вашему совету запустить Аутологгер повторно, который НЕ отработал как надо.
После этого выполнил следующее (в состоянии остановленного антивируса Касперский free).
1. Сканирование ПК средствами LiveCD Касперского (найдена и устранена угроза в $Recycle.Bin - троян Heur HackTool win32 KMSAuto.gen) и DrWeb (угроз после ликвидации НЕ найдено). После перезагрузок - AVZPM по-прежнему "включен".
2. С учетом подозрения на Руткит (с которыми ранее успешно справлялся сам, в т.ч. с использованием AVZPM) скачивал и запускал нижеуказанные инструменты, тщательно документируя порядок работ:
.1. Запуск Comodo Cleaning Essentials (безоп. режим): в самом начале этапа по сканированию реестра утилиту "молча" бесследно закрыли (видео работы до исчезновения окна в процессе сканирования длительностью 20 секунд сохранено);

.2. После перезагрузки в Норм. режиме наконец-то стартовал AVZ с сообщением, что AVZPM отключен и нужна перезагрузка.
После ее выполнения - опять то же окно, вспомогательные утилиты не запускались, логи не формировались; т.е. прошел цикл несколько раз с выходом на перезагрузку; "краснота" с безымянными PID-ами в Диспетчере процессов осталась (как и в момент самого первого поста);

.3. Запуск TDSSKiller (с сайта Касперского): в режиме с загрузкой спецдрайвера, найдены 2 угрозы в AppData\Local\Temp, убраны в карантин программой и одновременно оригиналы убиты вручную вместе с каталогом Temp, в котором появились заблокированные файлы (скриншот до удаления сохранен); карантин в папке c:\TDSSKiller_Quarantine\16.04.2018_04.56.04\ сохранен;

.4. Запуск RKUHooker, генерация и просмотр отчета, в конце которого было указано: система заражена руткитом. (Обрезанный!?) отчет утилиты RkU Version: 3.8.389.593 сохранен.

.5. Запуск AVZ, перед этим просмотр Диспетчера процессов, в столбце "Маскировка" указано: "Да, FU or KernelMode Rootkit !!".

.6. После выполнение присланного Вами скрипта для AVZPM в логе оказались строки, относящиеся к драйверу uzi0oty2.sys, который был у меня на подозрении еще в 2016 году и, изучая который, я создал "про запас" (на чем ныне и "погорел) его копию под именем uzi0oty2.sys.sys, а также файл uzi0oty2.sys.avzORvir (есть скриншот).
Теперь после удаления этих файлов из каталога \systen32\drivers\ и перезагрузки все красные пометки в Диспетчере процессов в AVZ пропали, в меню появилось обычное состояние "драйвер AVZPM не загружен".Время загрузки ОС сократилось со 116 секунд до 42 и субъективно скорость реакции системы увеличилась.

Однако остались вопросы:
- все ли следы руткита удалены с учетом странного пропадания wifi-сети после "чистой" перезагрузки?
- можно ли это выяснить по логам, которые я прилагаю в CollectionLog-2018.04.16-19.54.zip, сделанные при последнем запуске Аутологгера? Прилагаю также и лог по AVPZM.
- насколько может быть "чиста" установленная на этом же ПК ОС Виста?

Согласно требованиям хелперов сайта никакие иные файлы, кроме запрошенных логов, в т.ч. упомянутые выше в тексте, не прилагаются.
Еще раз большое спасибо за помощь!

- - - - -Добавлено - - - - -

-------16.04.18------01:28--------------------------------------
Уважаемый regist! К сожалению моя информация верна лишь частично, проблема не решена, она оказалась много сложнее, чем предполагалось
Действительно, AVZPM теперь нормально выгружается и загружается, но в Диспетчере процессов по-прежнему краснеются руткиты (
Масса маскировок и неудачных прямых записей в карантин, сеть не работает.
Прошу дальнейших указаний.
Спасибо заранее!
-------17.04.18-------12:20---------------
Забыл отметить, что при просмотре в Anvir появилось более 100 новых элементов запуска в автозагрузке, причем практически все от 15.04, т.е. в день и час запуска программ сканирования. Впечатление, что зловред активно размножается в ответ на попытки его удаления. Появилась идея сделать откат к более ранней точке восстановления, получить логи Аутологгером и провести лечение в том состоянии, когда система была более "чистой", чтобы не разбираться со множеством вновь заданных в автозагрузке служб и программ.

-------17.04.18-------14:20---------------
Все, что написано 16.04 в 1:28 относилось к состоянию после _горячей перезагрузки_. После холодной - в Диспетчере процесов в AVZ нет предупреждений о маскировке, сеть работает нормально.
Остается более длительно поработать и последить за ситуацией. Для этого собираюсь установить программы слежения за сетевой активностью и блокировки (с извещением юзера о) записи в реестр. М.б. что-нибудь из них посоветуете?
Спасибо!

[regist]

найдена и устранена угроза в $Recycle.Bin - троян Heur HackTool win32 KMSAuto.gen

Это просто в мусорной корзине и реальной угрозы не представлял. А для устранения достачно было выбросить мусор.

С учетом подозрения на Руткит (с которыми ранее успешно справлялся сам, в т.ч. с использованием AVZPM

AVPM как раз и провоцирует эти подозрения.

6. После выполнение присланного Вами скрипта для AVZPM в логе оказались строки, относящиеся к драйверу uzi0oty2.sys, который был у меня на подозрении еще в 2016 году и, изучая который, я создал "про запас" (на чем ныне и "погорел) его копию под именем uzi0oty2.sys.sys, а также файл uzi0oty2.sys.avzORvir (есть скриншот).

Это драйвер от AVZ, как раз тот который отвечал за AVZPM.

1)

Запуск TDSSKiller (с сайта Касперского): в режиме с загрузкой спецдрайвера, найдены 2 угрозы в AppData\Local\Temp, убраны в карантин программой и одновременно оригиналы убиты вручную вместе с каталогом Temp, в котором появились заблокированные файлы (скриншот до удаления сохранен); карантин в папке c:\TDSSKiller_Quarantine\16.04.2018_04.56.04\ сохранен;

Скриншот, либо лог (он имеет имя вида C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt ) если можно покажите, интересно посмотреть что он нашёл.


По логам посмотрел. Ничего плохого не видно. Только зачистим мусор от уже удалённых программ:

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3) Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O2 - HKLM\..\BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\winpgm\DOWNLO~1\dmiehlp.dll (file missing)
O4 - (disabled) HKCU\..\Run-: [Free USB Guard] = C:\Users\pan\Downloads\freeusbguardzip\Free_USB_Guard.exe  (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - D:\winpgm\Download Master\dmieall.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - D:\winpgm\Download Master\dmie.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - D:\winpgm\Download Master\remdown.htm (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - D:\winpgm\Download Master\dmieall.htm (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - D:\winpgm\Download Master\dmie.htm (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - D:\winpgm\Download Master\remdown.htm (file missing)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - Download Master - D:\winpgm\Download Master\dmaster.exe (file missing)
O9 - Tools menu item: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - &Download Master - D:\winpgm\Download Master\dmaster.exe (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)

3) Panda Security URL Filtering - самостоятельно дочистите.

4) На всякий случай посмотрите вам знакомо, что в папках

Код:

2018-04-13 00:41:23 ----D---- C:\uerdata
2018-04-08 00:47:20 ----D---- C:\Program Files\Mark Lagendijk
2018-04-07 00:53:28 ----D---- C:\696c323f772ebc97345c

[anpspb]

Здравствуйте, regist, спасибо за ответ.
Cделано по пунктам:
1) Логов TSSKiller обнаружено 2 файла (не на системном диске, с которого, видимо, стартовала программа); приложил.
2) Лог сделан и прикреплен.
3) HJTHis - к сожалению, прочитать доки и уяснить работу с ним еще руки не дошли, пользуюсь исключительно в том режиме, как написано на сайте virusinfо. При попытке пофиксить после запуска программы лог отличен от указанного в теме, далее показано, что НЕ удалось пофиксить потому что не найдено в новом логе (лог HiJackThis180421b.log приложен). Все файлы в архиве прикреплены.

--------не найдены-----------------
O4 - (disabled) HKCU\..\Run-: [Free USB Guard] = C:\Users\pan\Downloads\freeusbguardzip\Free_USB_Gu ard.exe (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - D:\winpgm\Download Master\dmieall.htm (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - D:\winpgm\Download Master\dmie.htm (file missing)
O8 - Context menu item: HKU\S-1-5-21-3050706641-2184886327-2280262005-1001\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - D:\winpgm\Download Master\remdown.htm (file missing)
------------------------------
В процессе работы появилось сообщение о необходимости закрыть MSIE, а после его закрытия - сообщение о том, что он якобы не закрыт и предложение сделать это насильно в HT с потерей сессии.
При этом на экране видимых окон MS IE не обнаружено. В диспетчере программ знакомого имени MSIE также не Найдено, но обнаружены остатки ранее удаленной из ProgramFiles Панды (модуль Panda_URL_Filteringb.exe), к удалению которой приступил.

В отчете также найдены 2 строки, относящиеся к ранее удаленным файлам (по результатам запуска TKiller) во временном каталоге:
O23 - Service S3: QPDRMHVTU - C:\Users\pan\AppData\Local\Temp\QPDRMHVTU.exe (file missing)
O23 - Service S3: ZSRBBBZNQJETZ - C:\Users\pan\AppData\Local\Temp\ZSRBBBZNQJETZ.exe (file missing)


5) Просмотр каталогов

2018-04-13 00:41:23 ----D---- C:\uerdata - Был нужен для данных пользователя, удален.
2018-04-08 00:47:20 ----D---- C:\Program Files\Mark Lagendijk - остатки программы WinLess (http://winless.org), уже удалена.
2018-04-07 00:53:28 ----D---- C:\696c323f772ebc97345c - результат установки версии .Net размером 204 Мб от 7.04 со всеми EUL-ами, дополнительнми Exe-шниками и пр.

Спасибо за поддержку, извините, если приложил что-то лишнее (но с целью сэкономить время на дальнейшую коммуникацию).

[regist]

В отчете также найдены 2 строки, относящиеся к ранее удаленным файлам

Дочистим тогда скриптом AVZ

Код:

begin
 StopService('QPDRMHVTU');
 StopService('ZSRBBBZNQJETZ');
 DeleteService('QPDRMHVTU');
 DeleteService('ZSRBBBZNQJETZ');
RebootWindows(false);
end.

+ Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O2 - HKLM\..\BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\winpgm\DOWNLO~1\dmiehlp.dll (file missing)
O4 - (disabled) HKCU\..\Run-: [Free USB Guard] = C:\Users\pan\Downloads\freeusbguardzip\Free_USB_Guard.exe  (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - D:\winpgm\Download Master\dmieall.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - D:\winpgm\Download Master\dmie.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - D:\winpgm\Download Master\remdown.htm (file missing)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - Download Master - D:\winpgm\Download Master\dmaster.exe (file missing)
O9 - Tools menu item: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - &Download Master - D:\winpgm\Download Master\dmaster.exe (file missing)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)

проблема решена?

[anpspb]

Увы, проблема с руткитами, видимо, НЕ решена!
И хотя AVZPM вроде как нормально загружается/выгружается (после удаления драйверов uzi* из \drivers), но при просмотре в Диспетчере программ в AVZ опять масса "красноты" и сообщений про руткиты, время загрузки увеличилось до 62 сек, время вЫключения - около 3 мин., в перечне загружаемых модулей ANVIR показывает по-прежнему 110 новых элементов, установленных в день проведенной мною серьезной антируткитной чистки 15.04.18 (скриншот приложен).
Перечисленные Вами элементы для чистки при запуске HJThis в списке найденных элементов отсутствуют (все).
Придется начинать с начала - возврат к контрольной точке до установки ряда малонужных программ типа Glasswire, удаление драйверов uzi* (видимо, более новая версия AVZ использует другие имена, в моей текущей конфигурации файлы с прежними именами в \drivers отсутствуют) и повторное сканирование Логгером с просьбой к Вам просмотреть логи.

[regist]

Перечисленные Вами элементы для чистки при запуске HJThis в списке найденных элементов отсутствуют (все).

они взяты из того лога, что вы прикрепили. Как они могут отсутствовать?

проблема с руткитами, видимо, НЕ решена!

Нету у вас руткитов, если вы насчёт перехватов, то это нормальное явление. Если сомневаетесь, то можете проверить TDSSKiller.

время вЫключения - около 3 мин.

это надо разбираться с системой, установленными программами/обновлениями и автозагрузкой. Не надо всё на вирусы списывать.

- - - - -Добавлено - - - - -

И в TDSSKiller аналогично не советую менять настройки по умолчанию.

[anpspb]

Здравствуйте, regist, огромное спасибо за быстрый ответ!!
Сделано:
1. Откат до 02.04.18, прежние контр. точки (до этой даты) отсутствуют (?!)
2. Удалено 10+ приложений в т.ч. антивирус Касперского и Acronis с помощью SoftOrganizer-а;
3. При запуске ANVIR-а он показывает 3 новых эл-та автозагрузки, в т.ч. совершенно ненужных, которые я не устанавливал (а также и MS Office, приложения которого не запускались:
- Отправить в Onenote
- Связанные заметки Onenote
- Yandex.Stroka.User - остатки голосового помощника Яндекса, который только что был удален админом;
Файл: c:\Users\new\AppData\Local\Yandex\SearchBand\Appli cation\3.1.0.1645\searchbandapp.exe

Сразу после высвечивания Anvir-ом последнего сообщения о новых элементах автозагрузки процесс Anvir-а был мгновенно убит.
4. Появившиеся после возврата к КТ файлы в \drivers (uzi0oty2.sys, uzi0oty2.sys.sys и uti0oty2.avzORvir) перенесены во врем. каталог
5. Скачана последняя версия Autologger-а (с повышенными привилегиями) от 20/04/18, проведен сбор логов в штатном режиме при отключенной сети, архив CollectionLog-2018.04.22-17.48.zip приложен.

Вопросы про странности.
Если Вы считаете, что руткитов в системе нет, то почему:
1) Антивирусная утилита Anvir убивается при попытке просмотра новых элементов автозагрузки?
2) После загрузки 22.04.18 в 16:50 Anvir показал _добавление_ новых элементов, которые вроде как никто НЕ устанавливал?
3) Дата впервые обнаруженных элементов автозагрузки в Anvir-е была изменена для более чем 20 элементов с "16.04.18" на "22.04.18"?
4) При загрузке AVZPM, перезагрузке и просмотре процессов в Диспетчере, видна масса (20+) "красных" элементов, имеющих только PID и без всякой детализации, а в логе присутствует порядка 10 строк с отметкой "маскировка процесса"?
5) Постепенно, после предыдущей чистки, время загрузки опять мало-помалу увеличилось с 45 до 80 секунд с учетом того, что практически ничего в системе не менялось?
6) Результаты проверки в HJThis сильно отличаются от указанных Вами для исправления элементов (тут я мог, конечно, что-то спутать и присоединить другой лог)?

7) В TDSSKiller не нужно включать спецдрайвер? По умолчанию, как Вы пишете, он ведь выключен.

И последнее: _только что_ проверка в VirusTotal показала наличие в удаленном из \drivers файле uti0oty2.avzORvir (который был еще в 2016 году у меня на примете) 5 подозрений: 2 трояна, один червь, один небезопасный и один руткит (W32.LmirESys3.Rootkit). М.б. его следы (если не копия) еще остались в системе?
Кстати, этого руткита нет в списке руткитов, с которыми борется TSSKiller... (https://support.kaspersky.ru/5350#block3)

Поэтому очень прошу Вас еще раз просмотреть присланные логи.
Еще раз большое спасибо за поддержку, простите мою дотошность и м.б. на первый взгляд лишние вопросы.

[regist]

И последнее: _только что_ проверка в VirusTotal показала наличие в удаленном из \drivers файле uti0oty2.avzORvir (который был еще в 2016 году у меня на примете) 5 подозрений: 2 трояна, один червь, один небезопасный и один руткит (W32.LmirESys3.Rootkit). М.б. его следы (если не копия) еще остались в системе?

ещё раз повторюсь это драйвер от AVZ. То что на него есть ложные срабатывание давно всем известно.

4) При загрузке AVZPM, перезагрузке и просмотре процессов в Диспетчере, видна масса (20+) "красных" элементов, имеющих только PID и без всякой детализации, а в логе присутствует порядка 10 строк с отметкой "маскировка процесса"?

Особенности работы системы. Это нормально.
Остальные вопросы лучше задавать в другом разделе (ибо к вирусам не относится), либо разработчикам Anvir.

Yandex.Stroka.User - остатки голосового помощника Яндекса, который только что был удален админом;

В планировщике задач задание от неё до сих пор осталось, также как и файл который им запускается.

panda_url_filtering - видно в результате отката надо заново удалять.
Bitdefender - видно раньше стоял, лучше также пройтись утилитой для его очистки http://www.bitdefender.com/files/Kno...stall_Tool.EXE

Поэтому очень прошу Вас еще раз просмотреть присланные логи.

Посмотрел. Вирусов нет.

И чтобы удалить ярлыки на уже удалённые файлы (таких у вас целая куча)
- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK.

[anpspb]

Добрый вечер, regist!
Большое спасибо за быстрый ответ и пояснения!
Как указано в окошке утилиты ClearLNK.exe, лог после ее работы прикрепляю к ответу.
И если вирусов (и руткитов нет, значит тему можно закрывать? или что дальше обыкновенно делается?
Еще раз большое спасибо за советы и работу!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера