Постоянные перебои с сетевым подключением, много файлов в папке C:\ProgramData\RunDLL

[Crazy63]

Добрый день. На компьютере стали возникать перебои с сетью, в "расшаренную" папку периодически не заходил. На данном ПК также установлен принтер по USB, к нему не могли подключиться другие машины.

Скачал KVRT, он нашел кучу троянов, удалил их, несколько раз перезагружал компьютер, после 3й или 4й полной проверки RVRT ничего не нашел. Насколько большой шанс, что троян мог попасть на другие машины? Несколько из них также проверил, ничего подозрительного не нашлось. Из найденных проблем - не создается точка восстановления, вылетает с ошибкой. Sfc /scannow не выявил проблем

Прикладываю логи и список карантина касперского.

[Info_bot]

Уважаемый(ая) Crazy63, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[Crazy63]

Готово

[Sandor]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Crazy63]

готово

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  2021-12-13 14:04 - 2021-12-13 14:04 - 000000000 ___SH () C:\ProgramData\kz.exe
  2021-12-13 14:04 - 2021-12-13 14:04 - 000000000 ___SH () C:\ProgramData\lsass.exe
  2021-12-13 14:04 - 2021-12-13 14:04 - 000000000 ___SH () C:\ProgramData\lsass2.exe
  2021-12-13 14:04 - 2021-12-13 14:04 - 000000000 ___SH () C:\ProgramData\olly.exe
  2021-12-13 14:04 - 2021-12-13 14:04 - 000000000 ___SH () C:\ProgramData\script.exe
  2021-12-13 14:04 C:\Windows\boy.exe
  2021-12-13 14:04 C:\Windows\java.exe
  2021-12-13 14:04 C:\Windows\svchost.exe
  2021-12-13 14:03 C:\Windows\SysWOW64\Drivers\conhost.exe
  2021-12-13 14:04 C:\ProgramData\Driver Foundation Visions VHG
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{FECE3700-5D93-4B31-B417-03BE03B8FFBD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{0F03C378-C7C4-4F13-AA22-C3B755C2B69A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{2044AAED-1B78-4F9D-9B46-7A5A1C7DFCA4}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{2F419BA1-CFDB-4C81-9DA6-D9107819EB23}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{301B9C41-680C-457C-9043-28F813A82121}] => (Allow) LPort=9494
  FirewallRules: [{37F1FF01-FEAF-440E-98E8-B45FC47B370E}] => (Allow) LPort=9393
  FirewallRules: [{C06EAA2E-6B9C-4848-A26C-AAB3F96C67D4}] => (Allow) LPort=9494
  FirewallRules: [{91A822CE-9C54-47A2-8634-7FE1916FD565}] => (Allow) LPort=9393
  FirewallRules: [{B50C0E27-86E2-48CE-B424-91DFEAFAA6D3}] => (Allow) LPort=138
  FirewallRules: [{1FCCC5CE-FCB6-4227-A709-D57CEAD8BF30}] => (Allow) LPort=445
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Crazy63]

Выполнил

[Sandor]

Ещё один скрипт, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Programdata
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Crazy63]

готово

[Sandor]

Что сейчас с проблемой?

[Crazy63]

Точка восстановления создалась, проблем с сетью пока не наблюдалось.

На компьютере сменить все пароли от почты, мессенджеров и всех сайтов, так? Что мог похитить этот(эти) трояны?

[Sandor]

Это был майнер, но сменить важные пароли не помешает.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Crazy63]

выполнил

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.7 v.4.17.9800 Внимание! Скачать обновления


Читайте Советы и рекомендации после лечения компьютера.

[Crazy63]

Спасибо большое!