Был удален вирус: Trojan.Agent, Delf, ShadowBrokers, Miner, RiskWare.RemoteAdmin

[VG20ET]

Привет Всем. Всех Девушек с 8 марта!)

При подсоединения флешки она не определялась, перезагрузил комп и она появилась вместе с кучей вирусов, которых поймал Касперский.
После я запустил проверку программой Malwarebytes Anti-Malware, он удалил остатки.
Пробовал запустить утилиту KVRT - не запускается, то есть тупо жму на кнопку "начать" и ничего не происходит.

Пожалуйста посмотрите, может остались какие-то повреждения после вируса.
Архив прилагаю
Заранее спасибо.

[Info_bot]

Уважаемый(ая) VG20ET, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\VG20ET\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk"        -> ["C:\Users\VG20ET\AppData\Local\Viber\Viber.exe"  =>> ShareFiles]

Отчёт о работе прикрепите.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[VG20ET]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\VG20ET\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk"        -> ["C:\Users\VG20ET\AppData\Local\Viber\Viber.exe"  =>> ShareFiles]

Отчёт о работе прикрепите.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Вадим спасибо. сделал. Отчеты приложил в архиве.

[Vvvyg]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {BEA7341B-FD65-4FAB-99F9-B2410DBCD057} - \AutoKMS -> Нет файла <==== ВНИМАНИЕ
Task: {DFADC043-4757-49A9-AEDB-03170046AB05} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-4233881519-445824335-4184825769-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S0 ADE9E62A; system32\drivers\ADE9E62A.sys [X]
U3 aswbdisk; отсутствует ImagePath
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\Windows\java.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\Windows\boy.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\script.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\olly.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\kz.exe
2022-02-25 06:31 C:\ProgramData\Driver Foundation Visions VHG
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> отсутствует путь к файлу
Toolbar: HKU\S-1-5-21-4233881519-445824335-4184825769-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-4233881519-445824335-4184825769-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[VG20ET]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {BEA7341B-FD65-4FAB-99F9-B2410DBCD057} - \AutoKMS -> Нет файла <==== ВНИМАНИЕ
Task: {DFADC043-4757-49A9-AEDB-03170046AB05} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-4233881519-445824335-4184825769-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S0 ADE9E62A; system32\drivers\ADE9E62A.sys [X]
U3 aswbdisk; отсутствует ImagePath
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\Windows\java.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\Windows\boy.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\script.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\olly.exe
2022-02-25 06:31 - 2022-02-25 06:31 - 000000000 ___SH C:\ProgramData\kz.exe
2022-02-25 06:31 C:\ProgramData\Driver Foundation Visions VHG
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> отсутствует путь к файлу
Toolbar: HKU\S-1-5-21-4233881519-445824335-4184825769-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-4233881519-445824335-4184825769-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

готово

[Vvvyg]

Перечитайте ту часть моего сообщения, что в начале, на жёлтом фоне с восклицательным знаком.

Проблема решена?

Выполните ещё такое исправление в Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
End::

Новый Fixlog.txt прикрепите.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[VG20ET]

Сорри.
Да. KVRT запускается. Спасибо за помощь.

Скажите что мне нужно предпринять, нужно ли мне сменить все пароли, почты и тд.?

[Vvvyg]

Был майнер в комплекте с программой удалённого управления, лучше поменять все пароли.

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Дата установки обновлений: 2015-12-18 23:49:30

С учётом этого систему крайне желательно обновить по полной, через автоматическое обновление, а лучше - с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критические фиксы, в т. ч. от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

Контроль учётных записей пользователя отключен (Уровень 1)

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[VG20ET]

Спасибо, так и сделал. переустановил систему. обновил до последней и + ваши советы