Подозрение на руткит!

Странные явления происходят, вот скриншот ресурс монитора. На диске F нет винды. она на C стоит!

При проверке AVZ вот кусочек лога

Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (138) перехвачена, метод APICodeHijack.JmpTo[71DB3756]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:NtCreateEvent (244) перехвачена, метод APICodeHijack.JmpTo[71DB2E96]
>>> Код руткита в функции NtCreateEvent нейтрализован
Функция ntdll.dll:NtCreateMutant (254) перехвачена, метод APICodeHijack.JmpTo[71DB2F16]
>>> Код руткита в функции NtCreateMutant нейтрализован
Функция ntdll.dll:NtCreateSemaphore (265) перехвачена, метод APICodeHijack.JmpTo[71DB2F96]
>>> Код руткита в функции NtCreateSemaphore нейтрализован
Функция ntdll.dll:NtCreateUserProcess (273) перехвачена, метод APICodeHijack.JmpTo[71DB3026]
>>> Код руткита в функции NtCreateUserProcess нейтрализован
Функция ntdll.dll:NtMapViewOfSection (350) перехвачена, метод APICodeHijack.JmpTo[71DB2A86]
>>> Код руткита в функции NtMapViewOfSection нейтрализован
Функция ntdll.dll:NtOpenEvent (359) перехвачена, метод APICodeHijack.JmpTo[71DB2ED6]
>>> Код руткита в функции NtOpenEvent нейтрализован
Функция ntdll.dll:NtOpenMutant (369) перехвачена, метод APICodeHijack.JmpTo[71DB2F56]
>>> Код руткита в функции NtOpenMutant нейтрализован
Функция ntdll.dll:NtOpenSemaphore (377) перехвачена, метод APICodeHijack.JmpTo[71DB2FE6]
>>> Код руткита в функции NtOpenSemaphore нейтрализован
Функция ntdll.dll:NtQueryInformationProcess (416) перехвачена, метод APICodeHijack.JmpTo[71DB3316]
>>> Код руткита в функции NtQueryInformationProcess нейтрализован
Функция ntdll.dll:NtResumeThread (486) перехвачена, метод APICodeHijack.JmpTo[71DB2CD6]
>>> Код руткита в функции NtResumeThread нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (600) перехвачена, метод APICodeHijack.JmpTo[71DB2936]
>>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Функция ntdll.dll:RtlDecompressBuffer (758) перехвачена, метод APICodeHijack.JmpTo[71DB3136]
>>> Код руткита в функции RtlDecompressBuffer нейтрализован
Функция ntdll.dll:RtlQueryEnvironmentVariable (1105) перехвачена, метод APICodeHijack.JmpTo[71DB32A6]
>>> Код руткита в функции RtlQueryEnvironmentVariable нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[71DB38F6]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[71DB39F6]
>>> Код руткита в функции SetWindowsHookExW нейтрализован

Уважаемый(ая) [B]Shadow Builder[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Коллектор лог

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - MSConfig\startupreg: AdobeBridge [command] = (HKCU) (2017/04/19) (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)[/CODE]

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

запрошенный файл

В логах ничего плохого незамечено. Только битые ссылки на файлы.


- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

запрошенный файл

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

отчет

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

логи

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
S3 HWiNFO32; \??\Y:\Temp\HWiNFO64A.SYS [X]
File: W:\Appdata\Roaming\msregsvv.dll
File: C:\Windows\system32\dfboottime.exe
File: C:\Windows\system32\msvcsv60.dll
File: C:\Windows\system32\ntrights.exe
File: C:\Windows\SysWOW64\av_dll.dll
File: C:\Windows\SysWOW64\av_proxy.dll
File: C:\Windows\SysWOW64\BASSMOD.dll
File: C:\Windows\SysWOW64\Redemption.dll
AlternateDataStreams: C:\ProgramData\PACE:543A5E083E0A1869 [217]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:792D4CF1 [129]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [250]
AlternateDataStreams: C:\Users\Все пользователи\PACE:543A5E083E0A1869 [217]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:792D4CF1 [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [250]
FirewallRules: [TCP Query User{60A8DAA9-77F9-4EAD-9854-6DA0AEE8319A}C:\cs16\hl.exe] => (Allow) C:\cs16\hl.exe No File
FirewallRules: [UDP Query User{202E04AA-1732-4FAA-B8B2-0D78A3A6CEF0}C:\cs16\hl.exe] => (Allow) C:\cs16\hl.exe No File
FirewallRules: [TCP Query User{820E87C9-0812-434C-8D6C-CF03AA4A7E73}D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe] => (Allow) D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe No File
FirewallRules: [UDP Query User{FD161449-8596-4727-82C5-E0A1A24B63BB}D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe] => (Allow) D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe No File
FirewallRules: [TCP Query User{65F62501-EC1F-4776-A185-C44142E29EA4}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe No File
FirewallRules: [UDP Query User{E319167C-1FFB-496F-ABB0-5973FC260921}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe No File
FirewallRules: [TCP Query User{DCB6CF0F-B306-4ACB-9881-1F236DE00ED5}D:\games\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\games\steam\steamapps\common\7 days to die\7daystodie.exe No File
FirewallRules: [UDP Query User{87195A2A-192B-48D0-AE59-3B7213F13AA5}D:\games\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\games\steam\steamapps\common\7 days to die\7daystodie.exe No File
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Результат

В логах ничего плохого не было замечено, какая проблема вас беспокоит?

Ну значит, вопрос можно закрыть. Вроде как пока никаких замечаний.

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.