[РЕШЕНО] Заражен компьютер, не запускается KVRT.

[mike 1]

27 минут назад, Peter15 сказал:

Успел удалить по ошибке эту утиль. Теперь как, заново сканировать?

Скопируйте текст скрипта в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool

[Peter15]

Готово.

Fixlog.txt

[Sandor]

KVRT сейчас запускается? Антивирус установить получилось?

[Peter15]

23 минуты назад, Sandor сказал:

KVRT

запускается. Но антивирус не буду пробовать устанавливать, т. к комп слабый и памяти всего 3 Гб.

[Sandor]

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Peter15]

2 часа назад, Sandor сказал:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

...

Всё, лечение завершено, остаётся только выявить уязвимые места в системе?

[Sandor]

Верно.

[Peter15]

2 часа назад, Sandor сказал:

Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.0.29625 Внимание! Клиент сети P2P с рекламным модулем!.
 

2 часа назад, Peter15 сказал:

антивирус не буду пробовать устанавливать

Но всё выше перечисленное следует проделать.

 

Рекомендации после удаления вредоносного ПО

[Peter15]

43 минуты назад, Sandor сказал:

Ваша операционная система может быть уязвима к новым типам угроз

Скорее она уязвима из-под пользователя, который сам ставит различную малварь.

44 минуты назад, Sandor сказал:

HotFix KB4539602

А интересно, если я поставлю пакет за ноябрь 2019-го (последний, где ещё нет напоминания во весь экран об окончании поддержки), есть ли там защита от "Bluekeep" или "Eternal Blue"?

[Sandor]

Смотрите в описании пакета.

[regist]

34 минуты назад, Peter15 сказал:

последний, где ещё нет напоминания во весь экран об окончании поддержки

Эти напоминания легко отключаются.

1) Насколько помню там должна быть кнопка или что-то типа того, чтобы больше не показывало.

2) Можно вручную добавить информацию аналогично нажатию на эту кнопку, чтобы отключить вывод этих уведомлений. Так что это совсем не повод отказываться от безопасности. Тем более после этого нашли много новых дыр. И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

39 минут назад, Peter15 сказал:

А интересно, если я поставлю пакет за ноябрь 2019-го

Накопительные пакеты включают (на они и накопительные), а если ставить Security-only update, то там надо ставить их все и за тот месяц  и предыдущие и последующие.

[regist]

16 часов назад, Peter15 сказал:

Это -- подозрительные файлы, которые вы хотите выслать на анализ?

Это файлы, которые я хотел посмотреть сам, а иначе попросил бы выслать их на почту карантина. Кстати, среди них и новое зверьё попалось.

 

16 часов назад, regist сказал:

\install\cheat.exe

Будет добавлено детектирование Trojan-Dropper.Win32.Agent.tetetm, так что можете его разослать по вирлабам для добавления детекта.

 

 

+ Если FRST пока не деинсталировали, то запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив также загрузите на обменник и пришлите мне ссылку в ЛС.

 

папк

Изменено 24 сентября, 2020 пользователем regist

[Peter15]

2 минуты назад, regist сказал:

Если FRST пока не деинсталировали

Увы, уже форматнул диск, т. к восстановление было сломано.

 

7 минут назад, regist сказал:

И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

У меня компьютер подключен через роутер, поэтому, думаю, зловреды, проникающие через открытые порты, не должны пройти. Вероятность остальных атак, думаю, ничтожна, по сравнению с тем, что этим компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

[regist]

Только что, Peter15 сказал:

Увы, уже форматнул диск, т. к восстановление было сломано.

С восстановлением могли спросить в соседнем разделе, может помогли бы починить. Но раз вам так было проще, то зачем заставлять нас тратить время на лечение...

2 минуты назад, Peter15 сказал:

поэтому, думаю, зловреды, проникающие через открытые порты

А кто сказал, что все эти дыры связана с открытыми портами?

 

3 минуты назад, Peter15 сказал:

компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

Вот именно поэтому и следует ставить все заплатки. В таком случае есть вероятность, что если даже вирус запустят, то он не сможет эксплуатировать уязвизмость системы.