Помогите исправить. После Nechta некоторые exe файлы потеряли свои иконки и не запускаются с сообщением "Версия этого файла несовместима и используемой версией Windows"

Помогите исправить. После Nechta некоторые exe файлы потеряли свои иконки и не запускаются с сообщением "Версия этого файла несовместима и используемой версией Windows"

Пролечил Dr.Web Cure It! и Malwarebytes.

В реестре exefile стер то что дописал вирус. Половина exe файлов запускаются нормально, половина утратили свои иконки и не запускаются.

[ATTACH=CONFIG]685517[/ATTACH]

AVZ Log
[QUOTE]Attention !!! Database was last updated 01.03.2016 it is necessary to update the database (via File - Database update)AVZ Antiviral Toolkit log; AVZ version is 4.46
Scanning started at 02.08.2021 12:12:35
Database loaded: signatures - 297570, NN profile(s) - 2, malware removal microprograms - 56, signature database released 01.03.2016 12:37
Heuristic microprograms loaded: 412
PVS microprograms loaded: 9
Digital signatures of system files loaded: 790760
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 6.1.7601, Service Pack 1 "Windows 7 Professional", install date 17.03.2021 14:46:26 ; AVZ is run with administrator rights (+)
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
2. Scanning RAM
Number of processes found: 5
Number of modules loaded: 141
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\1bf9044e-50ff-480f-83d8-3854fc0449a3.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\308195f7-7318-48ba-bc7b-ef3b2e123ec1.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\369fd8e3-f87e-426f-ad10-37ca7e1f4463.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\36aebb91-4188-4c2c-b653-c7829f08d20a.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\868a2d23-16d0-4d78-98a1-9101930cd253.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\a75b52cb-8ca1-45fa-864e-acfc1a007f89.tmp
Direct reading: C:\Users\Sviat123\AppData\Local\Temp\e62a1f13-4dd8-48c5-aea6-28fd42523f59.tmp
C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_AMD64.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Installer\$PatchCache$\Managed\7FA53761D8D11863495A5C876AE18C23\4.8.3761\PenIMC_X86.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NaturalLanguage6.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsData0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsLexicons0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NaturalLanguage6.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsData0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\NlsLexicons0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039ED763 0AD009C8 0023D29E 0022B028 17968)
C:\Windows\System32\msvcp110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr100_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\System32\msvcr110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcp110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr100_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
C:\Windows\SysWOW64\msvcr110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NaturalLanguage6.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsData0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\NlsLexicons0009.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\System32\msvcp110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\System32\msvcr100_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
D:\Windows\System32\msvcr110_clr0400.dll >>> suspicion for Backdoor.Win32.Agent.ahj ( 039E0947 0AB2DDDD 0023D29E 0022B028 17968)
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Службы удаленных рабочих столов)
>> Services: potentially dangerous service allowed: SSDPSRV (Обнаружение SSDP)
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 464373, extracted from archives: 219013, malicious software found 0, suspicions - 20
Scanning finished at 02.08.2021 12:25:16
Time of scanning: 00:12:42
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address [url]http://forum.kaspersky.com/index.php?showforum=19[/url]
For automatic scanning of files from the AVZ quarantine you can use the service [url]http://virusdetector.ru/[/url]
[/QUOTE]

Уважаемый(ая) [B]bysviat[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Еще такой лог добавил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Проверил файлы, наверное в них еще сидит Neshta?

[ATTACH=CONFIG]685520[/ATTACH]

Здравствуйте!

Нешта - файловый вирус. Пролечите с [url=https://support.kaspersky.ru/viruses/krd2018]помощью KRD[/url], только скачивать и создавать его следует на другом заведомо чистом от вирусов компьютере.

После этого соберите новый CollectionLog Автологером. Кроме этого архива больше пока ничего не нужно прикреплять.

К сожалению, KRD ничего не нашел. Загрузил и записал на флешку с чистого ПК.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Avira Security нашла 270 зараженных файлов Win32/Neshta, те которые не вылечил Dr.Web. Правда она вместо "вылечить" тупо удалила все файлы exe программ.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ааа, не удалила, а поместила в карантин. Подскажите как их можно вылечить, чтобы не переустанавливать? Уж такие программы что очень тяжело и долго мне было устанавливать.

[ATTACH=CONFIG]685524[/ATTACH]

К сожалению, после файлового заражения не все файлы вылечиваются успешно. Переустановка программы, содержащей такой поврежденный файл - единственное верное решение.

Malwarebytes, версия 3.6.1.2711 - устаревшая версия, деинсталлируйте.

Дополнительно:
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Запустить проверку"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[QUOTE=bysviat;1521208]Помогите исправить. После Nechta некоторые exe файлы потеряли свои иконки и не запускаются с сообщением "Версия этого файла несовместима и используемой версией Windows"[/QUOTE]
Имейте ввиду, что многие файловые вирусы, Neshta в частности, некорректно модифицируют заражаемые файлы, и их лечение уже невозможно. Как Вам уже рекомендовали - только переустановка из чистого дистрибутива поможет.

Понял, спасибо.

1.[LIST][*]Запустите повторно (если уже закрыли) [COLOR="Blue"][B]AdwCleaner (by Malwarebytes)[/B][/COLOR] (программу необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Параметры[/b] включите дополнительно в разделе [b]Действия по базовому восстановлению[/b]:
[list][*]Сбросить политики IE[*]Сбросить политики Chrome[/list][*]В меню [B]Информационная панель[/B] нажмите [B]Запустить проверку[/B].[*]По окончании нажмите кнопку [B]Карантин[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[*](Обратите внимание - C и S - это разные буквы).[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B]


2.
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Сделал.

[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2724743477-3007192557-4221043912-1001\...\MountPoints2: {5ce4c1ad-9afb-11eb-8b8d-001fc6358ec0} - G:\Start.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {8585D3F7-AD5F-4811-9F44-F37D8483A8D7} - System32\Tasks\{A2D42116-75C7-4082-9F7C-37EE5918411F} => C:\EC-APPS\INPA\BIN\INPALOAD.exe
Task: {E6A3DFFC-4C80-44E8-AA73-9C1A48D365E6} - System32\Tasks\{6D9BC16B-9D73-4002-84A5-4DDA2DFD28AE} => C:\EC-APPS\INPA\BIN\INPALOAD.exe
S3 WinRing0_1_2_0; \??\C:\Users\Sviat123\AppData\Local\Temp\tmp1C65.tmp [X] <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{8F552B6C-9EF4-4F5F-B2C1-ADBAD9F7E68F}C:\ediabas\bin\ifhsrv32.exe] => (Allow) C:\ediabas\bin\ifhsrv32.exe => Нет файла
FirewallRules: [UDP Query User{21A2620C-0044-41D1-A4B8-EE92B8331900}C:\ediabas\bin\ifhsrv32.exe] => (Allow) C:\ediabas\bin\ifhsrv32.exe => Нет файла
FirewallRules: [{C3A5790A-702A-4C08-AB77-30457E263A73}] => (Allow) C:\Ross-Tech\VCDS-RUS\VCIConfig.EXE => Нет файла
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

Есть.

Мусор почистили. Если проблем нет, в завершение:

1.[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Параметры[/B] прокрутите вниз и выберите [B]Удалить[/B].[/LIST]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

Удалил, загрузил, сделал.

------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
Контроль учётных записей пользователя [b]включен[/b]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 2.11.4.125 v.2.11.4.125 [color=red][b]Внимание! [url=https://www.nvidia.com/ru-ru/geforce/geforce-experience/]Скачать обновления[/url][/b][/color]
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^[/b][/color]
Java(TM) 6 Update 13 v.6.0.130 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://java.com/download/manual.jsp]Java SE 8[/url] (jre-8u301-windows-i586.exe)[/b].
--------------------------- [ AdobeProduction ] ---------------------------
Adobe SVG Viewer 3.0 v. 3.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 77.0.4054.277 v.77.0.4054.277 [color=red][b]Внимание! [url=https://net.geo.opera.com/opera/stable/windows]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color]


Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]

Большое спасибо за помощь, сделаю.