Перейти к содержанию

Trojan.Win32.Agent.gen. и Trojan.Win32.Miner.vho


Рекомендуемые сообщения

Здравствуйте, не могу избавиться от вируса, после сканирования KVRT, вирусы находит, но излечиться не получается, после перезагрузки ничего не меняется, загрузка ЦП 100 %. При запуске скрипта приходилось постоянно закрывать 2 процесса

NT Karnel & System так как именно эти процессы, загружают ЦП, и не давали скрипту завершить свою работу, что бы получить логи.

CollectionLog-2022.06.20-16.20.zip

Процессы.jpg

Изменено пользователем L77S
Дополнил информацию
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Готово, и после перезагрузки, пока что ничего лишнего ЦП не нагружает, NT Karnel & System в диспетчере задач не видно.

CollectionLog-2022.06.20-17.55.zip AV_block_remove_2022.06.20-17.52.log

Изменено пользователем L77S
Ссылка на комментарий
Поделиться на другие сайты

Хорошо, продолжаем:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3922582933-1519976250-1702863283-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {957E10C9-02C6-4F42-9503-86ED4C120699} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {C3E6EE34-E5A3-49CE-A3C8-6245258BFC0F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    2022-06-15 22:05 - 2022-06-20 14:25 - 000000000 ____D C:\KVRT_Data
    2022-06-15 22:04 - 2022-06-20 18:13 - 000000000 __SHD C:\Users\John
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3314]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3314]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\PokerStarsSochi.lnk:72DFC5BE9B [3314]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller.lnk:0C48161B06 [3314]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3314]
    AlternateDataStreams: C:\Users\Max\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Max\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{13BF7111-D113-4B40-9260-429F9478D55E}] => (Allow) LPort=80
    FirewallRules: [{3301B186-05AD-4D07-8A10-0D483009997C}] => (Allow) LPort=443
    FirewallRules: [{9454ED95-B83C-4303-910D-E2580A396E32}] => (Allow) LPort=20010
    FirewallRules: [{7B10B6D7-B999-4BCD-9D0A-1E6EB16CD969}] => (Allow) LPort=3478
    FirewallRules: [{75636880-7FBA-465B-996D-E53D299785FE}] => (Allow) LPort=7850
    FirewallRules: [{79CCB951-3E43-4C50-8509-2DC1864AFBBE}] => (Allow) LPort=7852
    FirewallRules: [{5FDCA485-8F86-4B10-A4BF-B375552837C6}] => (Allow) LPort=7853
    FirewallRules: [{FCAEA006-97CF-44B5-8F3D-5000D7760B44}] => (Allow) LPort=27022
    FirewallRules: [{C09610F1-F119-42CD-B24F-6A1D2CFAB22F}] => (Allow) LPort=6881
    FirewallRules: [{374C696F-3DA8-476B-9335-0CA153BDFE7E}] => (Allow) LPort=33333
    FirewallRules: [{8483A3A3-17C6-48A2-A5D3-3F45A6C667E8}] => (Allow) LPort=20443
    FirewallRules: [{9B54050F-D09E-4E36-94E3-7611BE231768}] => (Allow) LPort=8090
    FirewallRules: [{06CBBD0C-F67D-4BC4-BA01-69EC390E09C2}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    FirewallRules: [{0C5505C5-27BD-4201-8322-304ABAEDD10D}] => (Allow) LPort=32682
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Достаточно был скрипт выполнить один раз.

Если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Готово, появилась другая проблема, возможно последтсвия скрипта, когда разворачиваю браузер, программу и т.д из трея, ноутбук начинает подвисать в течение 3 сек. так же через раз появляется надпись :

SecurityCheck.txt

Надпись.jpg

Изменено пользователем L77S
Ссылка на комментарий
Поделиться на другие сайты

20 минут назад, L77S сказал:

возможно последтсвия скрипта

Не думаю. Скрипт ничего подобного не затрагивал.

 

Деинсталлируйте StartIsBack++ и проверьте, сохранится ли эта проблема.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • rottingcorpse
    • koshelev_forwor
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • Ири27
      От Ири27
      На компьютере Касперским был обнаружен  MEM: Trojan.Win32.SEPEH.gen.
      Пять раз его удаляла, но он появляется снова. Логи прикрепляю.CollectionLog-2024.11.27-10.20.zip 
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • woknelam
      От woknelam
      Здравствуйте. Не удаляется троян. Trojan.Win32.SEPEH.gen Вроде бы лечит, потом выдает синий экран , перезагрузка и все заново
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...