Заражение предустановленного Windows

[Banni-list]

Доброго дня.

Дочка привела подругу, у которой была проблема входа в интернет (не пускало вообще), а так как уменя уже была подобная оказия я согласился помочь. 

Согласно ответу компании Майкрософт  выполнил сброс параметров сетевого адаптера, маршрутов, очистке DNS и Winsock. проблема пропала, НО меня изначально  насторожило то что часть меню (когда кликаешь правой кнопкой мыши) и "всплывающие сообщения"  на "аброкатабре", проверил утилитой AVZ ,  в п. 1.1 выдало: 

Анализ kernel32.dll, таблица экспорта найдена в секции .rdata

Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC297A->775BCC01

Перехватчик kernel32.dll:ReadConsoleInputExA (1094) нейтрализован

Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC29AD->775BCC25

Перехватчик kernel32.dll:ReadConsoleInputExW (1095) нейтрализован

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775

Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован

Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1

Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован

Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D

Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован

Функция ntdll.dll:ZwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775

Перехватчик ntdll.dll:ZwCreateFile (1647) нейтрализован

Функция ntdll.dll:ZwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1

Перехватчик ntdll.dll:ZwSetInformationFile (1926) нейтрализован

Функция ntdll.dll:ZwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D

Перехватчик ntdll.dll:ZwSetValueKey (1957) нейтрализован

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553779D->6D4AB6DB

Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован

Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7554534B->6D4AC801

Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован

 Переустановил предустановленную Windows 8.1 (полная переустановка) но проблема не пропала.

Проверял ноутбук следующими утилитами/программами: AVZ, Kaspersky Virus Removal Tool,  Dr.Web CureIt!, Avast Internet Security, Malwarebytes Anti-Malware, hitmanpro_x64, VIPRERescue...  результат  "нулевой" (((

CollectionLog-2016.07.07-23.36.zip

[mike 1]

1. Деинсталлируйте:

Host App Service
TuneUp Utilities 2014

2. Удалите осколки от McAfee  =>  http://support.kaspersky.ru/7157?_ga=1.43195232.4379107.1470563720

 

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Banni-list]

Деинсталлируйте:

Host App Service
TuneUp Utilities 2014.AVZ проверял ДО установки тун апа, но на всякий пожарный удалил.

"осколки" макафе вроде бы удалил.

Отчёт прилагаю.

AdwCleanerS2.txt

[mike 1]

В покер играете?

[Banni-list]

В покер играете?

НЕТ

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Banni-list]

Очистил

AdwCleanerS3.txt

[mike 1]

Не тот отчет прислали.

[Banni-list]

ой

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Banni-list]

Оба прикрепил на всякий случай)

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File

CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx

S4 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X]

Task: {78F5713C-D284-4DD8-B155-4DAD9AC0BFEA} - System32\Tasks\FUB => C:\Program Files (x86)\Acer\Care Center\FUB.bat <==== ATTENTION

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAfee SiteAdvisor Service]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAPExe]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAWFwk]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McNaiAnn]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McODS]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McOobeSv2]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\mcpltsvc]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McProxy]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\MSK80Service]

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Banni-list]

Архив не создан.

Fixlog.txt

[mike 1]

Что с проблемой?

[Banni-list]

Осталась (((

P.S.  Проверяю после каждого шага.