Тотальное заражение, кейлоггер и скринграббер

Здравствуйте,
такое впечатление, что злоумышленник уже долгое время имеет каким-то образом доступ к моему компьютеру, периодически на рабочем столе сами по себе открываются файлы либо программы.
В 2020 году я стал жертвой жесткого кибербуллинга, заражено было всё - и телефон, и компьютеры, и ноутбук, и чуть ли не телевизор на приставке андроид.
Умыкнули 2000 р в момент оплаты ключа к АВ Касперского со сбербанк онлайн, вымогали деньги по телефону, вскрыли 2 почты, аккаунт гугл. Слали на вскрытый ютуб-канал НЛП-шные ролики с угрожающими и издевательскими заголовками, представились как какие-то "Близнецовые племена" или "пламена", а главарь по кличке "Архангел", так же как ник знаменитого британского хакера и "социального инженера". Состав киберпреступления: 119, 128.1, 137, 138, 158.1, 163, 272, 273 и др. статьи УК РФ.
Перепрошил телефон, переустановил систему на пк.
После обращения в МВД (пока безрезультатного) злодеи немного поутихли. Но впечатление, что они все равно заходят в мой пк как к себе домой, не знаю каким образом.
Касперский лицензионный никаких проблем не видит, однако "Троян киллером" и "Лоарисом" удалил порядка 130 троянов.
Отключены все удаленные доступы, удаленные помощники и т.п. Может быть, через роутер Wf они получают доступ каким-то образом? Система W 10, про.
Как сделать, чтобы ни один негодяй не мог пролезть в мой компьютер удалённо?
Посмотрите пожалуйста логи и скрины.

Уважаемый(ая) [B]Александр Шадурин[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Для начала хотя бы логи по правилам раздела приложите.

Скажите, а как очистить сообщение от предыдущих вложений и заменить их на нужные?

[url=http://virusinfo.info/showthread.php?t=130567]Удалите лишние вложения[/url].

Спасибо, удалил. Сейчас попробую прикрепить по правилам.

Почему не целиком CollectionLog-*.zip? Двух файлов не хватает.

Такое впечатление, что автологгер запускается в виртуальной среде. Все окна в какой-то зеленой рамке. В процессе выдает ошибку RSIT. Сохранил вот еще вручную протокол AVZ. В нем подозрение на троянскую программу и кейлоггер. Видимо, мерзавец крепко зацепился за мой ПК, что и переустановка W не очень-то помогла.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот вся папка коллекшн лог - по прежнему выдает ошибку RSIT, не может выполнить процесс.

Скорее всего, просто препятствует COMODO Internet Security, нужно было отключить при сборе логов.
О, там ещё и Kaspersky Internet Security. Это очень плохо, т. к. защитные программы будут между собой бороться за контроль системы, а не с вирусами.
Ещё и TinyWall, Malwarebytes, совершенно бесполезный Loaris Trojan Remover, остатки Avast...

Оставьте что-то одно, например, KIS, только тогда можно будет продолжать.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (.job): (Not scheduled) Обновление Браузера Яндекс.job - C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
O22 - Task: Обновление Браузера Яндекс - C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)
O22 - Task: Ghostpress_SkipUAC_0E33BDF34B54E9216D7284742A149AF0 - C:\Users\user\AppData\Local\Temp\Rar$EXa4388.44883\Ghostpress.exe (file missing)
O22 - Task: Ghostpress_SkipUAC_35C4CCE3D352EFF3C9521BF6AC317901 - C:\Users\user\AppData\Local\Temp\Rar$EXa3560.31107\Ghostpress.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1359421686-3206347792-1188950288-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3929785066-1310864014-745133530-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)[/code]
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\WiperSoft\WiperSoft.lnk" -> ["C:\program files\WiperSoft\WiperSoft.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Dead Island\Удалить Dead Island.lnk" -> ["C:\Users\user\AppData\Roaming\Dead Island\Uninstall\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Включить обновления Windows.lnk" -> ["C:\ProgramData\JinnTools\AutoInst.exe" =>> /WinUpdateOn]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Выключить обновления Windows.lnk" -> ["C:\ProgramData\JinnTools\AutoInst.exe" =>> /WinUpdateOff]
>>> "C:\Users\user\Documents\Восстановленные\Все старые апы\multibit-20170715112755.wallet.lnk" -> ["C:\Users\user\Documents\Все старые бумажники\multibit-20170715112755.wallet"][/CODE]Отчёт о работе прикрепите.

Удалил все лишнее, оставил только Касперского, пофиксил строки, отчет по СLNK:

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Сделал, вот лог.

Если Вы уже закрыли приложение, запустите повторное сканирование в [B]Malwarebytes AdwCleaner[/B], установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "[B]Сбросить политики Chrome (Reset Chrome Policies[/B]". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите [B]Карантин[/B] ([B]Quarantine[/B]) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.

После перезагрузки в меню [B]Файлы журналов[/B] программы будет лог очистки, файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Сделал, вот все 3 файла. Перезагрузку программа не затребовала.

Comodo Internet Security Essentials не деинсталлирован, Malwarebytes удалён не полностью.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {18186445-8D52-4A7E-A4B4-E7B85C40068E} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exe (Нет файла)
S1 uzmznjy0; C:\WINDOWS\SysWOW64\Drivers\uzmznjy0.sys [11264 2021-07-04] () [Файл не подписан]
C:\WINDOWS\SysWOW64\Drivers\uzmznjy0.sys
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\WINDOWS\System32\drivers\zamguard64.sys [X]
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zam64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zamguard64.sys => ""="Driver"
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Первую часть сделал, получил Fixlog, но SecurityCheck не запускается от слова совсем:(

Internet Security Essentials удалили?
KIS отключите временно и попробуйте снова.

Да, удалил из папки вручную, перезагрузил пк. Приостановил Касперского, но все равно эта программа не запускалась. Запустил через свойства, устранение проблем с совместимостью, получил лог-файл. По файлу понял что ISE еще работает, остановил через ДЗ и удалил еще раз, теперь уже надеюсь полностью. Без CISE программа SCh стала работать нормально даже при работающем KIS. Настораживает по отчету, что служба Microsoft Defender остановлена. И судя по 2 последним строчкам Unity player и Алиса служат источником проблем...

[QUOTE=Александр Шадурин;1523776]Да, удалил из папки вручную[/QUOTE]

Нельзя программы удалять вручную, тем более антивирусы, только штатно, через панель управления. Придётся дочищать.

Windows Defender выключен, поскольку KIS активен, чтобы не было конфликта.

[QUOTE][color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Service Pack не установлен [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB976932]Скачать обновления[/url][/b][/color]
[color=blue][b]^Возможно потребуется повторная активация Windows^[/b][/color][/QUOTE]
Мало того, что Windows 7 снята уже 2 года с поддержки, так даже сервис-пак и последующие обновления не установлены, система дырявая до невозможности.

Установите SP1 и последующие обновления через автоматическое обновление, а лучше - с помощью [URL="https://blog.simplix.info/update7/"]Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1[/URL].

Обновите программы и браузер:[QUOTE]Zoom v.5.7.6 (1055) [color=red][b]Внимание! [url=https://zoom.us/client/latest/ZoomInstaller.exe]Скачать обновления[/url][/b][/color]
Telegram Desktop version 3.4.2 v.3.4.2 [color=red][b]Внимание! [url=https://tdesktop.com/win]Скачать обновления[/url][/b][/color]
Yandex v.21.8.3.614 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color][/QUOTE]

Но у меня не Windows 7, а Windows 10 x 64. Не знаю, почему появилась 7, просто программа не запускалась сначала, и мне удалось запустить ее через свойства-устранение проблем с совместимостью. Во втором файле показывает уже W 10. Но от семерки в ПК остался диск на 1 Тб - разбитый на несколько логических дисков. Я его использую просто как накопитель, но система 7 там осталась, я его не форматировал, просто подключил. Может, поэтому программа на него среагировала? Наверное, лучше вообще физически отключить этот диск?