Здравствуйте! У меня похоже такая-же проблема как у того парня с вашего сайта. Я тоже переустановил виндос и думал что это поможет, внизу написал, что выдаёт сканер. У меня к компу был получен удалённый доступ, лично видел как перемещают ярлыки с рабочего стола пару раз, когда я просто смотрел в монитор и по долгу ничего не делал. Винду установил с чистой установки вроде как через Media Creation Tool, но винда откуда-то берёт сама ставит control center, не помню чтобы при чистой установки она такое делала. Если только она сама драйвера ставит при чистой установки. Вот заявка того парня, только у меня ещё какие-то другие перехваты показывает дополнительные: Вирус (заявка № 22816. И ещё у меня не ставится драйвер AVZPM
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DF481->762B76E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1163) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DF4B4->762B7710
Перехватчик kernel32.dll:ReadConsoleInputExW (1164) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36C40->74645310
Перехватчик ntdll.dll:NtCreateFile (301) нейтрализован
Функция ntdll.dll:NtSetInformationFile (613) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36960->74645480
Перехватчик ntdll.dll:NtSetInformationFile (613) нейтрализован
Функция ntdll.dll:NtSetValueKey (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36CF0->746454F0
Перехватчик ntdll.dll:NtSetValueKey (646) нейтрализован
Функция ntdll.dllwCreateFile (1876) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36C40->74645310
Перехватчик ntdll.dllwCreateFile (1876) нейтрализован
Функция ntdll.dllwSetInformationFile (2186) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36960->74645480
Перехватчик ntdll.dllwSetInformationFile (2186) нейтрализован
Функция ntdll.dllwSetValueKey (2219) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36CF0->746454F0
Перехватчик ntdll.dllwSetValueKey (2219) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->766DDF50->746451F0
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2400) перехвачена, метод ProcAddressHijack.GetProcAddress ->766E2650->74645560
Перехватчик user32.dll:SetWindowsHookExW (2400) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F280B0->762BB5C0
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75F28E34->76658FC0
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1366) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dllrocessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->765E0407->7321DCB0
Перехватчик ws2_32.dllrocessSocketNotifications (37) нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FCB98->731CBC20
Перехватчик netapi32.dll:I_NetServerAuthenticateKerberos (61) нейтрализован
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FD73D->73124800
Перехватчик netapi32.dll:NetFreeAadJoinInformation (131) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->731FD76C->73124B80
Перехватчик netapi32.dll:NetGetAadJoinInformation (132) нейтрализован
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SmartD, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
После того как я к Вам обратился у меня произошёл выход из учётной записи, которая прикреплена буквально везде в Windows и OneDrive и в браузере тоже. Может мне нужно удалить OneDrive, чтобы не произошла загрузка чего-то вредоносного? Ещё есть вопрос касаемо того как мог вирус остаться после чистой установки, Биос моего компьютера в порядке, как думаете?
- - - - -Добавлено - - - - -
Media Creation Tool разве не считается чистой установкой, туда при скачивании на флешку как-то может залезть вирус? Нужно скачивать образ iso с сайта Microsoft?
Установка системы черезp Media Creation Tool чистая.
В логах ничего подозрительного.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится
У того парня запускали какое-то лечение же читал, хотя у него в логах тоже ничего небыло. Microsoft Defender в особом сканировании с перезагрузкой почему-то доводит сканирование только до 92 процентов, может это тоже что-то означает?
Я на сайте Microsoft где-то было прочитал, что Media Creation Tool образ созданный на флешку на заражённом компьютере установит заражённую винду, только скачанный iso помогает. Можете порекомендовать программу для создания образа на будущее? Обновление с других компьютеров галочку надо отменить, могут быть в процессе использования загружены заражённые обновления, поставить только с сервера Microsoft?
- - - - -Добавлено - - - - -
Вложения FRST & Addition написано было 0 просмотров даже после вашего ответа.
- - - - -Добавлено - - - - -
Перезагрузился, что мне дальше делать?
- - - - -Добавлено - - - - -
Это разве тоже норма? >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
- - - - -Добавлено - - - - -
Пожалуйста, подскажите как мне отсканировать Windows в безопасном режиме какой-то другой утилитой? Только подробно напишите как сделать такой запуск, пожалуйста.
Я не вижу смысла делать какие-то другие проверки, это лишняя трата времени. Система чиста.
Какой весией AVZ делали проверку на руткиты? Актуальная - 5.91.
Так как нету вирусов, вырубается интернет когда я вам сюда пишу, происходит выход из учётной записи.
- - - - -Добавлено - - - - -
И тогда и сейчас сканировал последней версией. Просканировал антивирусом и вот что изменилось, эта запись пропала >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
- - - - -Добавлено - - - - -
Вот новые логи после сканирования: 1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BBF481->753876E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1163) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->75BBF4B4->75387710
Перехватчик kernel32.dll:ReadConsoleInputExW (1164) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (301) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256C40->6EE95310
Перехватчик ntdll.dll:NtCreateFile (301) нейтрализован
Функция ntdll.dll:NtSetInformationFile (613) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256960->6EE95480
Перехватчик ntdll.dll:NtSetInformationFile (613) нейтрализован
Функция ntdll.dll:NtSetValueKey (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256CF0->6EE954F0
Перехватчик ntdll.dll:NtSetValueKey (646) нейтрализован
Функция ntdll.dll:ZwCreateFile (1876) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256C40->6EE95310
Перехватчик ntdll.dll:ZwCreateFile (1876) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2186) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256960->6EE95480
Перехватчик ntdll.dll:ZwSetInformationFile (2186) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2219) перехвачена, метод ProcAddressHijack.GetProcAddress ->77256CF0->6EE954F0
Перехватчик ntdll.dll:ZwSetValueKey (2219) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ECDF50->6EE951F0
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2400) перехвачена, метод ProcAddressHijack.GetProcAddress ->76ED2650->6EE95560
Перехватчик user32.dll:SetWindowsHookExW (2400) нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->751280B0->7538B5C0
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->75128E34->76948FC0
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1366) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:ProcessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->768D0407->72A0DCB0
Перехватчик ws2_32.dll:ProcessSocketNotifications (37) нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447CB98->7294BC20
Перехватчик netapi32.dll:I_NetServerAuthenticateKerberos (61) нейтрализован
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447D73D->6CDD4800
Перехватчик netapi32.dll:NetFreeAadJoinInformation (131) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->7447D76C->6CDD4B80
Перехватчик netapi32.dll:NetGetAadJoinInformation (132) нейтрализован
Не нужно что-то пытаться сделать с помощью AVZ, это узкоспециализированная утилита.
Перехваты делают системные программы, штатный антивирус в т. ч.
Не вижу смысла продолжать, это форум лечения вирусов. Тема закрыта.
Последний раз редактировалось Vvvyg; 10.01.2024 в 13:43.
Уважаемый(ая) SmartD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
. И ещё у меня не ставится драйвер AVZPM
wCreateFile (1876) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A36C40->74645310
rocessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->765E0407->7321DCB0
