Появились глюки на компьютере. Например изображения в браузере не открываются в некоторых местах, или картинка в личной подписи под перепиской не видна или торрент автоматом закачивает файлы в директорию "загрузки", хотя обычно при нажатии на билет, идет запрос - куда нужно скачать тот или иной файл.
AVZ выдал сначала это: (Вставляю текст, который был выделен красным шрифтом)
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->7678DAB8->7755ACA0
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7678DAEB->7755ACD0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->778430E0->746C1480
Функция ntdll.dll:NtMakeTemporaryObject (415) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetInformationFile (59 перехвачена, метод ProcAddressHijack.GetProcAddress ->77842E00->746C15E0
Функция ntdll.dll:NtSetSystemTime (623) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77843190->746C1650
Функция ntdll.dllwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->778430E0->746C1480
Функция ntdll.dllwMakeTemporaryObject (1955) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dllwSetInformationFile (213 перехвачена, метод ProcAddressHijack.GetProcAddress ->77842E00->746C15E0
Функция ntdll.dllwSetSystemTime (2163) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dllwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->77843190->746C1650
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->756B94F0->746C1370
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->756BE780->746C16C0
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E742E4->7755D6A0
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E7520B->7614C610
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7471C14A->61839FA0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7471C179->6183A320
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 3488 c:\program files (x86)\common files\adobe\adobe desktop common\elevationmanager\adobeupdateservice.exe
>>>> Обнаружена маскировка процесса 3852 c:\program files (x86)\teamviewer\teamviewer_service.exe
>>>> Обнаружена маскировка процесса 5252 c:\program files\common files\doctor web\scanning engine\dwengine.exe
>>>> Обнаружена маскировка процесса 5532 c:\program files\common files\doctor web\scanning engine\dwantispam.exe
>>>> Обнаружена маскировка процесса 8744 c:\program files (x86)\nvidia corporation\nvnode\nvidia web helper.exe
>>>> Обнаружена маскировка процесса 8892 c:\program files\common files\doctor web\scanning engine\dwwatcher.exe
>>>> Обнаружена маскировка процесса 9332 c:\users\user\appdata\roaming\utorrent\utorrent.ex e
>>>> Обнаружена маскировка процесса 5696 c:\users\user\appdata\roaming\utorrent\updates\3.5 .5_45966\utorrentie.exe
>>>> Обнаружена маскировка процесса 10128 c:\users\user\appdata\roaming\utorrent\updates\3.5 .5_45966\utorrentie.exe
>>>> Обнаружена маскировка процесса 7204 c:\users\user\appdata\roaming\spotify\spotify.exe
>>>> Обнаружена маскировка процесса 7768 c:\users\user\appdata\roaming\spotify\spotify.exe
>>>> Обнаружена маскировка процесса 9256 c:\users\user\appdata\local\zoominfoceutility\2214 \coordinator.exe
>>>> Обнаружена маскировка процесса 10260 c:\users\user\appdata\roaming\spotify\spotify.exe
>>>> Обнаружена маскировка процесса 10468 c:\users\user\appdata\roaming\spotify\spotify.exe
>>>> Обнаружена маскировка процесса 10792 c:\users\user\appdata\roaming\spotify\spotify.exe
>>>> Обнаружена маскировка процесса 12308 c:\program files (x86)\skillbrains\lightshot\5.5.0.7\lightshot.exe
>>>> Обнаружена маскировка процесса 15248 c:\users\user\appdata\roaming\utorrent\helper\help er.exe
>>>> Обнаружена маскировка процесса 15404 c:\program files\drweb\dwscanner.exe
>>>> Обнаружена маскировка процесса 1704 c:\users\user\downloads\avz4\avz.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Maks-s, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.