Перейти к содержимому


Фотография
- - - - -

Вирус в системной памяти mem trojan.win32.sepem.gen

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Ноябрь 2019 - 14:56

При сканировании касперский обнаружил троян

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 05 Ноябрь 2019 - 15:23

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.


Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 05 Ноябрь 2019 - 17:08

Прикрепляю 

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 05 Ноябрь 2019 - 17:19

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 223

Отправлено 05 Ноябрь 2019 - 17:50

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).


Сообщение отредактировал regist: 05 Ноябрь 2019 - 17:53

  • 0

#6 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 06 Ноябрь 2019 - 09:37

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Прикрепленные файлы


  • 0

#7 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 06 Ноябрь 2019 - 09:50

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.
  • 0
Изображение

#8 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 06 Ноябрь 2019 - 15:02

ссылка на virusinfo.info

FRST.txt во вложении

 

https://virusinfo.in...115D8E7C9E00DF5

 

 

 

 

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).

 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.

 

 

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   40,5К   скачиваний 1

  • 0

#9 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 06 Ноябрь 2019 - 15:06

1. Не цитируйте полностью предыдущие сообщения. Используйте форму быстрого ответа внизу.

2. Старайтесь отвечать на все наши вопросы:

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys
совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать?


3. Вы прикрепили не тот файл, нужен Fixlog.txt
  • 0
Изображение

#10 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 06 Ноябрь 2019 - 15:33

 

3. Вы прикрепили не тот файл, нужен Fixlog.txt

 

Прикрепленные файлы


  • 0

#11 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 168

Отправлено 06 Ноябрь 2019 - 15:37

Еще не ответили на п.2

Обнаружение продолжается?
  • 0
Изображение

#12 OFF   popov3275

popov3275

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 06 Ноябрь 2019 - 16:58

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys
совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.
Будем его зачищать?

 
Будем

Сообщение отредактировал Sandor: 06 Ноябрь 2019 - 17:00
Поправил BB-код

  • 0

#13 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 223

Отправлено 06 Ноябрь 2019 - 21:44

Свежие логи Автологером соберите и прикрепите.
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных