Подозрение на руткит

[COLOR=#333333]Обнаружил вчера странную активность на компьютере. Крашились процессы, не открывался hijack и avz и т.д.[/COLOR]
[COLOR=#333333]В итоге добился работы avz и понял что наткнулся на руткит. Логи прикреплены.[/COLOR]
[COLOR=#333333]Хелп.
[QUOTE][/COLOR][COLOR=#333333]Версия Windows: 10.0.10586, "Windows 10 Home", дата инсталляции 02.01.2016 21:39:24 ; AVZ работает с правами администратора (+)Восстановление системы: включено[/COLOR]
[COLOR=#333333]1. Поиск RootKit и программ, перехватывающих функции API[/COLOR]
[COLOR=#333333]1.1 Поиск перехватчиков API, работающих в UserMode[/COLOR]
[COLOR=#333333]Анализ kernel32.dll, таблица экспорта найдена в секции .rdata[/COLOR]
[COLOR=#333333]Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->743BA057->74869FC0[/COLOR]
[COLOR=#333333]Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->743BA08A->74869FF0[/COLOR]
[COLOR=#333333]Анализ ntdll.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F97120->6C8D2300[/COLOR]
[COLOR=#333333]Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F96E40->6C8D2240[/COLOR]
[COLOR=#333333]Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F971D0->6C9085D0[/COLOR]
[COLOR=#333333]Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F97120->6C8D2300[/COLOR]
[COLOR=#333333]Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F96E40->6C8D2240[/COLOR]
[COLOR=#333333]Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F971D0->6C9085D0[/COLOR]
[COLOR=#333333]Анализ user32.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->75523560->6C8D1F00[/COLOR]
[COLOR=#333333]Функция user32.dll:SetWindowsHookExW (2341) перехвачена, метод ProcAddressHijack.GetProcAddress ->7552FB20->6C908650[/COLOR]
[COLOR=#333333]Анализ advapi32.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->73E77C0B->7461C260[/COLOR]
[COLOR=#333333]Анализ ws2_32.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Анализ wininet.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Анализ rasapi32.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Анализ urlmon.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Анализ netapi32.dll, таблица экспорта найдена в секции .text[/COLOR]
[COLOR=#333333]Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->757DC3CE->6277A730[/COLOR]
[COLOR=#333333]Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->757DC3FD->6277AAA0[/COLOR][COLOR=#333333][/QUOTE]



[/COLOR]

Уважаемый(ая) [B]RussianReversal[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin\AppData\Roaming\ATI\Java\jusched.exe','');
DeleteFile('C:\Users\admin\AppData\Roaming\ATI\Java\jusched.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Java Update Schedule','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Вот логи, но прислать карантин не получается, пишет, что файл был уже загружен.

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
RebootWindows(true);
end.[/CODE]

[QUOTE]Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
Обновите базы AVZ.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Как-то так

Базы обновились. Ерунда осталась. Пойдем другим путём.

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]

Готово

Имеется вопрос. После запуска (включения) компьютера, происходит произвольный запуск браузера с рекламной страницей ?

Компьютер чист от вирусов. Единственное что удалось обнаружить: C:\USERS\ADMIN\DESKTOP\EXTREME INJECTOR V3.6.EXE - но насколько я понимаю это всего лишь патч к Far Cry 4.

Да нет, браузер корректно работает.
То есть вирусов не обнаружено? Просто у меня вчера, когда слетела лицензия ESET компьютер начал странно себя вести: не открывался AVZ и HiJack, провисал ЦП. Я конечно бы мог спустить все на 10 винду, но когда я активировал ESET avz заработал и это натолкнуло меня на мысль о вирусе. (Раньше лечил от чего-то подобного) Включил AVZ и он показал что функции перехвачены и т.п. Подумал что руткит.

Вирусов нет.

Спасибо большое за работу. Извиняюсь за ваше потраченное время.