Win10x64-выгрузка Punto+пропадание точек-восстан+ошибка-установки-Kaspera+перехват=зловред?

Здравствуйте! Прошу помочь разобраться.
2.11 работал на сайте финансового советника, подозреваю, что мошенника. После этого ПК стал вроде как работать медленно. Постепенно заметил эффекты: стал вскоре после вызова самопроизвольно выгружаться punto switcher из трея, а при загрузке появляются сразу 2 его флажка(!), пропали последние точки восстановления, при попытке 17.11 лечения DrWeb-ом - зловреды не найдены, при попытке загрузить АВ Касперского - ошибка при скачивании и установке, при попытке вызова приложения при щелчке на его пиктограмме на панели задач запускается НЕ требуемое, а другое - то, пиктограмма которого находится на панели левее нужного!
AVZ версии 4 обнаружил перехваты прерываний (сегодня ночью) (см. фрагмент лога ниже).
Наконец, во время загрузки перед выходом на ввод пароля аккаунта на экране быстро мелькают (и исчезают) следы окон CMD.
При попытке записи файлов в каталоги HDD время поиска и перехода в нужный каталог составляет 10-20 сек!
В сегодняшнем отчете в CollectionLog-2023.11.18-18.44.zip ->log.txt инфо о перехвате прерываний не обнаружил.
В планах - перестановка ОС на SSD, установка Virtual box и продолжение работы с данными на HDD 1Tb после конвертации динамических томов (С: D: F: G: - сын сглупил) в базовые. В настоящее время опасаюсь кейлоггера с сайта "фин.советника" и хочется пересесть на чистую систему. Если не получится - придется устанавливать OS с нуля. Спасибо заранее!

--------фрагмент лога avz_log.txt 7*734 18.11.2023 09:09 ---------
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->767BDB14->75C0EDD0
Перехватчик kernel32.dll:ReadConsoleInputExA (1133) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->767BDB47->75C0EE00
Перехватчик kernel32.dll:ReadConsoleInputExW (1134) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76AB6952->75C117E0
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76AB7879->769FC140
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->74FED14A->70A5CB20
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->74FED179->70A5CEA0
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
-----------конец фрагмента-----

Уважаемый(ая) [B]anpspb[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Здравствуйте, Vvvyg, спасибо за оперативный ответ.
Посылаю архив с запрошенными файлами.

Деинсталлируйте UVK - Ultra Virus Killer. Программы. которые декларируют "Deletes all types of malware", и заодно "оптимизируют" систему - по опыту, как минимум, бесполезны. Как, кстати, и Wise Care и почие "оптимизаторы" и чистильщики.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-11-17 16:52 - 2023-11-17 16:52 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2023-11-17 15:33 - 2023-11-17 16:37 - 000000000 ____D C:\Users\Alex\Doctor Web
ShellIconOverlayIdentifiers: [ YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} => -> Нет файла
ShellIconOverlayIdentifiers: [ YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} => -> Нет файла
ShellIconOverlayIdentifiers: [ YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} => -> Нет файла
ShellIconOverlayIdentifiers: [ YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} => -> Нет файла
ShellIconOverlayIdentifiers: [ YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} => -> Нет файла
HKU\S-1-5-21-4260269450-2919650783-664929065-1001\...\StartupApproved\Run: => "YandexDisk2"
HKU\S-1-5-21-4260269450-2919650783-664929065-1001\...\MountPoints2: {86babce9-4aaf-11eb-9620-001dd9dd9367} - "G:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-4260269450-2919650783-664929065-1001\...\MountPoints2: {c87f1c21-df58-11eb-9639-001a801f71b7} - "J:\setup.exe"
HKU\S-1-5-21-4260269450-2919650783-664929065-1003\...\MountPoints2: {2b76b963-4068-11ee-96c0-bcaec55cf367} - "J:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-4260269450-2919650783-664929065-1003\...\MountPoints2: {c87f1c0b-df58-11eb-9639-001a801f71b7} - "K:\setup.exe"
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив .RAR или .7z с максимальным сжатием (если нет этих приложений, в Windows 11 по правой кнопке мыши - "Сжать в ZIP файл") и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Здравствуйте, сделал все в соответствии с инструкцией.
Файл приложен.

Кейлоггеров не было, мусор почитстили.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Уважаемый Vvvyg! Большое спасибо за помощь! Все чистил в аккаунте админа, в котором работа идет вдвое-втрое быстрее. Ранее замеченные эффекты в аккаунте пользователя теперь отсутствуют.
Попутно вопрос: Вы посоветовали удалить приложение Wise Care, которое регулярно использую для чистки системы от хлама и мусора. Что посоветуете вместо этого? На Ccleaner вроде как тоже есть нарекания, правда давно читал. Есть ли какие-либо последние мнения/статьи/доки на этот счет? Еще раз спасибо!

Не нужно сторонних программ. В Windows 10 включите и настройте "[URL="https://support.microsoft.com/ru-ru/windows/управление-дисковым-пространством-с-помощью-контроля-хранилища-654f6ada-7bfc-45e5-966b-e24aded96ad5#:~:text=на%20других%20дисках.-,Включить%20"Контроль%20памяти",корзине%2C%20включите%20функцию%20Контроль%20хранилища."]Контроль памяти[/URL]". + в Vivaldi [URL="https://help.vivaldi.com/ru/desktop-ru/privacy-ru/delete-browsing-data/#:~:text=Перейдите%20в%20меню%20Vivaldi%20>%20Инструменты,%2BDel%20%2F%20⇧%20⌘%20⌫%20."]кэш периодически чистить[/URL].

Еще раз спасибо за советы! Контроль памяти был настроен для админа, сейчас проверяю на других аккаунтах. Про кэш понятно.
Последний вопрос: хочу поставить хостом VirtualBox а в нее - гостевые Whonix и Win8.1 (стоит на другом ПК, работает без замечаний 2 года). Если у Вас есть предостережения, советы, рекомендации (в т.ч. по докам/ресурсам, oszone и Habr штудирую периодически) - буду благодарен за них!

Особых рекомендаций нет, не часто использую виртуалки, и всё больше на Hyper-V. Свежие версии VirtualBox используйте, вот и всё, пожалуй.

Еще раз здравствуйте, Vvvyg! И спасибо большое за помощь и поддержку, которую оказываете!! Я думал, что эпопея с лечением кончилась, но увы...! Вынужден опять Вас потревожить. И потому начинается "плач Ярославны"! :)
Ситуация в том, что в аккаунте админа alex, из которого я слал вам все отчеты - все прекрасно: ПК работает быстро, никаких проблем. Но стоит мне перейти в мой обычный, пользовательский (под именем panadmin), начать работать в word-13, как видно сильное замедление, окна разных документов переключаются медленнее и вообще ощущение, что "что-то не то"! В первый раз за десятки лет с таким вот столкнулся!
Грешу на размер профиля, под которым работаю последние 6-10 месяцев и который много больше админского, на установленный в нем Скайп. Но думаю все же, что не в этом дело, скайп я выгружаю, а остальные проблемы остаются! Ведь именно отсюда, из panadmin, меня угораздило зайти на сайт мошенников и работать там! Хорошо, что нет кейлоггеров в админе, как Вы написали, а в юзерском профиле? По идее если нет зловредов в одном аккаунте, админском, то не должно быть и в другом, юзерском, так?
Но я сейчас заканчиваю программировать серьезную систему в среде VBA и мне нужна и быстрая надежная работа и уверенность в отсутствии зловредов. А отвлекаться на переустановку системы до окончания проекта не хотелось бы. Пока отключил права администратора в админском аккаунте, переключил их на третий, редко используемый, буду пробовать работать в админском в word, заканчивать проект. Ну а что бы Вы мне посоветовали? Спасибо!

Других рекомендаций. кроме смены аккаунта в такой ситуации и нет.

Спасибо, важно бы еще понять причину этих эффектов. А раздраконить аккаунт и перейти в другой - несложно, но без знания причин можно опять наступить на те же грабли, не зная, где они лежат :-) Ведь в другом аккаунте система работает молниеносно, хочется понять, где "копать" :-)

Нет простых и однозначных рецептов. Во время подвисаний запустить диспетчер задач, смотреть загрузку процессора, памяти, диска, если высокая - то какой процесс виноват. Смотреть в журналах системы и приложений ошибки за время, когда наблюдались проблемы, гуглить.

Спасибо, попробую таким образом выловить процесс. Сложность в том, что торможения спонтанные и достаточно кратковременные, поймать нелегко.
Но важно то, что все проблемы, описанные в заголовке (punto, точки, установка Каспера) пропали, т.е. либо запуск AVZ помог, то ли, скорее всего, это Ваша помощь принесла результат!
Ну и неплохо бы заодно научиться работать с софтом измерения производительности в процессе поиска причины тормозов. Пока руки не доходили, хотя искал вменяемые доки по этим вопросам и пока не нашел. Поищу. Спасибо за помощь и за рецепты!