Помогите! Ситуация похожа на заявку номер 228168

Здравствуйте! У меня похоже такая-же проблема как у того парня с вашего сайта. Я тоже переустановил виндос и думал что это поможет, внизу написал, что выдаёт сканер. У меня к компу был получен удалённый доступ, лично видел как перемещают ярлыки с рабочего стола пару раз, когда я просто смотрел в монитор и по долгу ничего не делал. Винду установил с чистой установки вроде как через Media Creation Tool, но винда откуда-то берёт сама ставит control center, не помню чтобы при чистой установки она такое делала. Если только она сама драйвера ставит при чистой установки. Вот заявка того парня, только у меня ещё какие-то другие перехваты показывает дополнительные: [COLOR=#555555][FONT=Arial][URL="https://virusinfo.info/showthread.php?t=228168"]Вирус[/URL][/FONT][/COLOR][COLOR=#555555][FONT=Arial] (заявка № 228168). И ещё у меня не ставится драйвер [/FONT][/COLOR]AVZPM


Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DF481->762B76E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1163) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DF4B4->762B7710
Перехватчик kernel32.dll:ReadConsoleInputExW (1164) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36C40->74645310
Перехватчик ntdll.dll:NtCreateFile (301) нейтрализован
Функция ntdll.dll:NtSetInformationFile (613) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36960->74645480
Перехватчик ntdll.dll:NtSetInformationFile (613) нейтрализован
Функция ntdll.dll:NtSetValueKey (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36CF0->746454F0
Перехватчик ntdll.dll:NtSetValueKey (646) нейтрализован
Функция ntdll.dll:ZwCreateFile (1876) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36C40->74645310
Перехватчик ntdll.dll:ZwCreateFile (1876) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2186) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36960->74645480
Перехватчик ntdll.dll:ZwSetInformationFile (2186) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2219) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36CF0->746454F0
Перехватчик ntdll.dll:ZwSetValueKey (2219) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->766DDF50->746451F0
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2400) перехвачена, метод ProcAddressHijack.GetProcAddress ->766E2650->74645560
Перехватчик user32.dll:SetWindowsHookExW (2400) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F280B0->762BB5C0
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F28E34->76658FC0
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1366) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:ProcessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->765E0407->7321DCB0
Перехватчик ws2_32.dll:ProcessSocketNotifications (37) нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FCB98->731CBC20
Перехватчик netapi32.dll:I_NetServerAuthenticateKerberos (61) нейтрализован
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FD73D->73124800
Перехватчик netapi32.dll:NetFreeAadJoinInformation (131) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FD76C->73124B80
Перехватчик netapi32.dll:NetGetAadJoinInformation (132) нейтрализован
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Уважаемый(ая) [B]SmartD[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

И не нужно пытаться устанавливать AVZPM, в современных системах он не работает.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Прикрепил отчёты, буду ждать ответа, Спасибо!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

После того как я к Вам обратился у меня произошёл выход из учётной записи, которая прикреплена буквально везде в Windows и OneDrive и в браузере тоже. Может мне нужно удалить OneDrive, чтобы не произошла загрузка чего-то вредоносного? Ещё есть вопрос касаемо того как мог вирус остаться после чистой установки, Биос моего компьютера в порядке, как думаете?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Media Creation Tool разве не считается чистой установкой, туда при скачивании на флешку как-то может залезть вирус? Нужно скачивать образ iso с сайта Microsoft?

Установка системы черезp Media Creation Tool чистая.
В логах ничего подозрительного.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится

У того парня запускали какое-то лечение же читал, хотя у него в логах тоже ничего небыло. Microsoft Defender в особом сканировании с перезагрузкой почему-то доводит сканирование только до 92 процентов, может это тоже что-то означает?

Я на сайте Microsoft где-то было прочитал, что Media Creation Tool образ созданный на флешку на заражённом компьютере установит заражённую винду, только скачанный iso помогает. Можете порекомендовать программу для создания образа на будущее? Обновление с других компьютеров галочку надо отменить, могут быть в процессе использования загружены заражённые обновления, поставить только с сервера Microsoft?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вложения FRST & Addition написано было 0 просмотров даже после вашего ответа.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Перезагрузился, что мне дальше делать?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Это разве тоже норма? >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Пожалуйста, подскажите как мне отсканировать Windows в безопасном режиме какой-то другой утилитой? Только подробно напишите как сделать такой запуск, пожалуйста.

Я не вижу смысла делать какие-то другие проверки, это лишняя трата времени. Система чиста.
Какой весией AVZ делали проверку на руткиты? Актуальная - 5.91.

Так как нету вирусов, вырубается интернет когда я вам сюда пишу, происходит выход из учётной записи.

[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]

И тогда и сейчас сканировал последней версией. Просканировал антивирусом и вот что изменилось, эта запись пропала >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)

[COLOR=silver]- - - - -Добавлено - - - - -[/COLOR]

Вот новые логи после сканирования: 1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BBF481->753876E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1163) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BBF4B4->75387710
Перехватчик kernel32.dll:ReadConsoleInputExW (1164) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256C40->6EE95310
Перехватчик ntdll.dll:NtCreateFile (301) нейтрализован
Функция ntdll.dll:NtSetInformationFile (613) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256960->6EE95480
Перехватчик ntdll.dll:NtSetInformationFile (613) нейтрализован
Функция ntdll.dll:NtSetValueKey (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256CF0->6EE954F0
Перехватчик ntdll.dll:NtSetValueKey (646) нейтрализован
Функция ntdll.dll:ZwCreateFile (1876) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256C40->6EE95310
Перехватчик ntdll.dll:ZwCreateFile (1876) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2186) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256960->6EE95480
Перехватчик ntdll.dll:ZwSetInformationFile (2186) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2219) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256CF0->6EE954F0
Перехватчик ntdll.dll:ZwSetValueKey (2219) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ECDF50->6EE951F0
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2400) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED2650->6EE95560
Перехватчик user32.dll:SetWindowsHookExW (2400) нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->751280B0->7538B5C0
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75128E34->76948FC0
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1366) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:ProcessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->768D0407->72A0DCB0
Перехватчик ws2_32.dll:ProcessSocketNotifications (37) нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447CB98->7294BC20
Перехватчик netapi32.dll:I_NetServerAuthenticateKerberos (61) нейтрализован
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447D73D->6CDD4800
Перехватчик netapi32.dll:NetFreeAadJoinInformation (131) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447D76C->6CDD4B80
Перехватчик netapi32.dll:NetGetAadJoinInformation (132) нейтрализован

Не нужно что-то пытаться сделать с помощью AVZ, это узкоспециализированная утилита.
Перехваты делают системные программы, штатный антивирус в т. ч.
Не вижу смысла продолжать, это форум лечения вирусов. Тема закрыта.