Здравствуйте! AVZ нашел вирус в драйвере видеокарты. Можете глянуть?

Здравствуйте,

Похоже у AVZ ложное срабатывание.

Сами устанавливали Process Hacker 2 ?

O4 - HKCU\..\Run: [Process Hacker 2] = C:\Program Files\Process Hacker 2\ProcessHacker.exe -hide



HiJackThis профиксить (http://www.cyberforum.ru/viruses-faq/thread89293.html)
Важно: необходимо отметить и профиксить только то, что указано ниже.

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Se&nd to OneNote: (default) = (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) - - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\AnVirDisabled: (no name) - - (no file)

Что-то кроме этого беспокоит?

SQx,
Сами устанавливали Process Hacker 2 ? »
Да.
HiJackThis профиксить »
Сделал. Что-то серьёзное было?
Что-то кроме этого беспокоит? »
Нет.

Ничего плохого не заметил, в фиксе были только ссылки на несуществующие объекты (no file).

Подготовьте и прикрепите лог сканирования FRST (http://www.cyberforum.ru/post7151340.html).

SQx,
FRST. »
При загрузке хром пишет, что файл вредоносный.

Разрешите загрузку, это ложное срабатывание. Или скачайте другим браузером.

AVZ нашел вирус в драйвере видеокарты. »
всего-лишь подозрение, так у него подозрительное поведение.

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск (https://disk.yandex.ru/), Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/), karelia.ru (http://file.karelia.ru/), Ge.tt (http://www.ge.tt/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

+ OneNote как понимаю у вас уже удалён, а хвосты от него остались.

пофиксьте ещё в Хиджак
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Send to OneNote - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\ONBttnIE.dll (file missing)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\ONBttnIELinkedNotes.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Se&nd to OneNote - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\ONBttnIE.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\ONBttnIELinkedNotes.dll (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): Microsoft SkyDrive Pro Icon Overlay 1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\GROOVEEX.DLL (file missing)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): Microsoft SkyDrive Pro Icon Overlay 2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Microsoft Office\Office15\GROOVEEX.DLL (file missing)

regist,
FRST. »
сделал
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »
Сведения о файле:
Размер файла, байт: 24202373
MD5: 5E5CB59850A6C0EB31E0FA805F3FC992
+ OneNote »
сделал

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
GroupPolicy-x32: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3036067919-953413981-2654474982-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
AlternateDataStreams: C:\Users\User\OneDrive:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.SyncRootIdentity [130]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Sandor, сделал

При переходе на вторую страницу что-то спуталось. Мой ответ - последний на предыдущей (1) странице.

Sandor, готово

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.737.17763.0 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4519338)
Автоматическое обновление отключено
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 15.1.6 Full v.15.1.6 Внимание! Скачать обновления (https://files3.codecguide.com/K-Lite_Codec_Pack_1520_Standard.exe)
LibreOffice 6.3.0.4 v.6.3.0.4 Внимание! Скачать обновления (https://ru.libreoffice.org/download/)
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления (https://www.7-zip.org/download.html)
^Удалите старую версию, скачайте и установите новую.^


Читайте Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

Sandor, Что было можно узнать?

Вируса точно не было :)
Хвосты адвари и мелкий системный мусор.

Sandor,
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. »
Куда то исчез FRST после переименования.

Он само удалился вместе со всеми своими следами.

Sandor,
Будет ли anvir эффективен в нахождении процесса под которым запущен вирус?

Ввиду огромного количества разновидностей вирусов (или точнее, вредоносных программ), сомневаюсь. Современные полноценные антивирусы оценивают угрозу по нескольким параметрам и "с разных сторон".
Впрочем, на этот вопрос трудно дать односложный ответ.
Читайте рекомендации из сообщения №14.