Был процесс MicrosoftHost.exe который тормозил систему и много разных NT Kernel [Trojan.Win32.ShadowBrokers.t, HackTool.Win32.ShadowBrokers.k]

Здравствуйте. Был процесс MicrosoftHost.exe который тормозил систему и много разных NT Kernel.
Не давало запустить ни AVZ ни касперский - окно открывалось и тут же закрывалось. Кое как запустил Dr.Web CureIT. Он нашел какое то количество троянов. После этого получилось собрать статистику virusinfo. Помогите пожалуйста.

Уважаемый(ая) [B]Chiz[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Приложил

Выполните скрипт в AVZ из папки Autologger
[code]{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders:= TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('Doctor Web');
PF_folders:= TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('Zaxar');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders:= TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i: integer;
A: Integer;
begin
for i:= 0 to AFL.Count - 1 do
begin
fname:= NormalDir(path + AFL[i]);
if DirectoryExists(fname)
then
begin
AddToLog('Directory ' + fname + ' exists');
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
A:= GetAttr(fname);
if A and 2 + A and 4 <> 0 then FSResetSecurity(fname);
DeleteDirectory(fname);
end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure AV_block_remove;
begin
Clearlog;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteSysClean;
end;

begin
AV_block_remove;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Файл [B]AV_block_remove.log[/B] из папки AVZ прикрепите к сообщению.

приложил

Удалите файлы FRST.txt и Addition.txt. Сделайте новые логи Farbar.

Готово

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2020-08-18 07:24 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
FirewallRules: [TCP Query User{EFCEF6D0-5757-4C19-8C06-A2525753A8E8}D:\epicgames\kingdomcomedeliverance\bin\win64mastermasterepicpgo\kingdomcome.exe] => (Allow) D:\epicgames\kingdomcomedeliverance\bin\win64mastermasterepicpgo\kingdomcome.exe => No File
FirewallRules: [UDP Query User{102A2A03-A6A9-4778-A9FB-36E054A49506}D:\epicgames\kingdomcomedeliverance\bin\win64mastermasterepicpgo\kingdomcome.exe] => (Allow) D:\epicgames\kingdomcomedeliverance\bin\win64mastermasterepicpgo\kingdomcome.exe => No File
MSCONFIG\startupreg: GameCenter => "C:\Users\1\AppData\Local\GameCenter\GameCenter.exe" -autostart
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделал

На этом чистку мусора можно считать оконченной.

Спасибо!

У меня увели телеграмм аккаунт после этого вируса. Телеграмм десктоп стоял на компьютере. Двуфакторная аутентификация в аккаунте не была включена.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]87[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\programdata\install\utorrent.exe - [B]Trojan-PSW.Win32.Delf.=
aidq[/B][*] c:\programdata\rundll\adfw.dll - [B]Trojan.Win32.ShadowBrokers.=
p[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\adfw-2.dll - [B]Trojan.Win32.ShadowBroker=
s.t[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\cnli-0.dll - [B]Trojan.Win32.ShadowBroker=
s.am[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\cnli-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ao[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\coli-0.dll - [B]Trojan.Win32.ShadowBroker=
s.u[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\crli-0.dll - [B]Trojan.Win32.ShadowBroker=
s.at[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\dmgd-1.dll - [B]Trojan.Win32.ShadowBroker=
s.aw[/B][*] c:\programdata\rundll\dmgd-4.dll - [B]Trojan.Win32.ShadowBroker=
s.ay[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\doublepulsar-1.3.1.exe - [B]Backdoor.Win3=
2.ShadowBrokers.f[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\esco-0.dll - [B]Trojan.Win32.ShadowBroker=
s.v[/B][*] c:\programdata\rundll\etchcore-0.x64.dll - [B]Exploit.Win64.Sha=
dowBrokers.c[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etchcore-0.x86.dll - [B]Exploit.Win32.Sha=
dowBrokers.aa[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etch-0.dll - [B]Exploit.Win32.ShadowBroke=
rs.z[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etebcore-2.x64.dll - [B]Exploit.Win64.Sha=
dowBrokers.d[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etebcore-2.x86.dll - [B]Exploit.Win32.Sha=
dowBrokers.ad[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\eteb-2.dll - [B]Exploit.Win32.ShadowBroke=
rs.ab[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\eternalblue-2.2.0.exe - [B]Exploit.Win32.=
ShadowBrokers.ae[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\exma.dll - [B]Trojan.Win32.ShadowBrokers.=
w[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\exma-1.dll - [B]Trojan.Win32.ShadowBroker=
s.x[/B][*] c:\programdata\rundll\iconv.dll - [B]Trojan.Win32.ShadowBrokers=
=2Ect[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\libcurl.dll - [B]Trojan.Win32.EquationDru=
g.jf[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\libeay32.dll - [B]HackTool.Win32.ShadowBr=
okers.n[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\programdata\rundll\libiconv-2.dll - [B]HackTool.Win32.Shadow=
Brokers.l[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\libxml2.dll - [B]HackTool.Win32.ShadowBro=
kers.k[/B][*] c:\programdata\rundll\pcla-0.dll - [B]Trojan.Win32.ShadowBroker=
s.y[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\pcrecpp-0.dll - [B]Trojan.Win32.ShadowBro=
kers.av[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\pcreposix-0.dll - [B]Trojan.Win32.ShadowB=
rokers.au[/B][*] c:\programdata\rundll\pcre-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ax[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\posh.dll - [B]Trojan.Win32.ShadowBrokers.=
aa[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\posh-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ab[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\riar.dll - [B]Trojan.Win32.ShadowBrokers.=
ar[/B] ( AVAST4: Win32:Stuxnet-C [Wrm] )[*] c:\programdata\rundll\riar-2.dll - [B]Trojan.Win32.ShadowBroker=
s.as[/B] ( AVAST4: Win32:Stuxnet-C [Wrm] )[*] c:\programdata\rundll\rundll.exe - [B]UDS:DangerousObject.Multi=
=2EGeneric[/B][*] c:\programdata\rundll\ssleay32.dll - [B]Trojan.Win32.ShadowBrok=
ers.cz[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tibe.dll - [B]Trojan.Win32.ShadowBrokers.=
ac[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tibe-1.dll - [B]Trojan.Win32.ShadowBroker=
s.bb[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tibe-2.dll - [B]Trojan.Win32.ShadowBroker=
s.ad[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trch.dll - [B]Trojan.Win32.ShadowBrokers.=
ae[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\trch-0.dll - [B]Trojan.Win32.ShadowBroker=
s.af[/B][*] c:\programdata\rundll\trch-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ag[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trfo.dll - [B]Trojan.Win32.ShadowBrokers.=
an[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trfo-0.dll - [B]Trojan.Win32.ShadowBroker=
s.aq[/B][*] c:\programdata\rundll\trfo-2.dll - [B]Trojan.Win32.ShadowBroker=
s.ap[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tucl.dll - [B]Trojan.Win32.ShadowBrokers.=
ah[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tucl-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ai[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\ucl.dll - [B]Trojan.Win32.Shadowbrokers.c=
o[/B][*] c:\programdata\rundll\xdvl-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ak[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\x64.dll - [B]HEUR:Trojan.Win32.Blouiroet.=
gen[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\rundll\x86.dll - [B]HEUR:Trojan.Win32.Blouiroet.=
gen[/B] ( BitDefender: Gen:Trojan.Heur.LP.fu4@aKVfA7ei, AVAST4: Win32:=
Trojan-gen )[*] c:\programdata\rundll\zibe.dll - [B]Trojan.Win32.ShadowBrokers.=
al[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\zlib1.dll - [B]Trojan.Win32.EquationDrug.=
dp[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\2x64.dll - [B]HEUR:Trojan.Win32.Blouiroet=
=2Egen[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\rundll\2x86.dll - [B]HEUR:Trojan.Win32.Blouiroet=
=2Egen[/B] ( BitDefender: Gen:Trojan.Heur.LP.fu4@aKVfA7ei, AVAST4: Win=
32:Trojan-gen )[*] c:\programdata\setup\update.exe - [B]UDS:DangerousObject.Multi.=
Generic[/B][*] c:\programdata\windows\install.bat - [B]Trojan.BAT.Agent.bhf[/B=
] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\windowstask\amd.exe - [B]HEUR:Trojan.Win32.Miner=
=2Egen[/B] ( AVAST4: Win64:CoinminerX-gen [Trj] )[*] c:\programdata\windowstask\microsofthost.exe - [B]HEUR:Trojan.W=
in32.Miner.gen[/B] ( AVAST4: Win64:CoinminerX-gen [Trj] )[*] c:\rdp\rdpwinst.exe - [B]not-a-virus:RemoteAdmin.Win32.RDPWrap.h=
[/B][/LIST][/LIST]
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
[LIST=3D1][*]=CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 ![/LIST]