Подозрение на скрытую загрузку библиотек через AppInit_DLLs

[Kaz]

Добрый день !

 

Прошу помочь - через определённое время (10-20 мин) компьютер стал странно работать. В процессах тишина, компьютер не загружён. Гаснет экран, пишет нет сигнала. Из корпуса слышен звук похожий на рестарт компьютера (визг и остановка HDD возможно), ничего дальше не происходит, перезагружаю вручную. Решил проверить на вирусы для интереса: Dr.Web CureIt ничего не нашёл, Касперский тоже. AVZ4 и HijackThis показали - Эвристичеcкая проверка системы, Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~2\KASPER~1\KASPER~1.0FO\kloehk.dll" Что это ? В реестре AppInit_Dlls и LoadAppInit_Dlls со значением (1) не удаляются и не изменяются после рестарта системы. Пытался через HijackThis удалить, ничего так же не удалилось. Так же уже продолжительное время стал замечать что контрольные точки восстановления системы перестали храниться в системе (выделено 14 gb, но используется 0) 

avz_log.txt

Изменено 12 апреля, 2018 пользователем Kaz

[regist]

Порядок оформления запроса о помощи
 

[Kaz]

Полный файл логов 

CollectionLog-2018.04.12-12.46.zip

[regist]

1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.

 

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Google Update [command] = C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2015/12/17)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe  (file missing) (HKLM) (2016/09/14)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000Core - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000UA - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: (disabled) Steam-S-1-8-22-9865GUI - C:\Users\1\AppData\Roaming\Steam\Reversed\steam.exe dtqrfg. (file missing)
O22 - Task: \Macromedia\ErrorCheck - C:\Users\1\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe -ErrorCheck (file missing)

3) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{6C57A656-1491-48D5-A23B-D8EEF4DDE885}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{C3D5E94D-11A9-4D04-AB47-5D3146C1B309}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{465612EA-9369-43FE-ADB3-368B33F62073}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c673ffaa202ad8f2\Bibou.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\NFS Carbon - Collector's Edition.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e5879d05a17cc45\et.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\Деинсталлировать NFS Carbon - Collector's Edition.lnk
C:\Users\1\Desktop\Программы\Adobe Reader 9.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{DDAB32E4-A578-4D93-8396-70A8792E8EC0}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\57d4963759eb80b1\GrottyScape.lnk
C:\Users\1\Desktop\Программы\Alcohol 120%.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{1C2AA067-09AB-4ADE-B510-1C9BD3001E66}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\ArtMoney PRO v7.35.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Руководство пользователя.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Посетить сайт ArtMoney.lnk
C:\Users\1\Desktop\Программы\ArtMoney PRO v7.35.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d30f36c6cce4b54a\KabitisModernVersion.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9451eb43856dbd48\SAMOLIOTIK.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b5b9f77329763ebc\Aircraftwarx.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{544625DD-4D6C-40B4-9FD3-6CBF45ACB96E}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d081d00e6f627ffb\ninjablock.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F114E9CE-58EB-4783-BB6F-E03471914F40}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{570FC9BA-FC23-4129-81DF-F410BE3CD26B}\PlayTasks\0\Blur(TM).lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c7fd301c6a96b7cd\GoMissionSpaceTravel.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Alice Madness Returns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Деинсталлировать Alice Madness Returns.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b17f6a2173f01d02\JumpBall.lnk

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 12 апреля, 2018 пользователем regist

[Kaz]

Повторные логи

ClearLNK-2018.04.13_22.00.02.log

CollectionLog-2018.04.13-22.07.zip

[regist]

 

 

1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.

Не сделали.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

[Kaz]

Malwarebytes отчёт.

scan.txt

[regist]

Удалите в MBAM всё найденное.