Перейти к содержанию
Правила раздела

[РЕШЕНО] MEM:trojan.win32.sepeh.gen

Coroko

Автор Coroko
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Coroko

Coroko

Опубликовано
Опубликовано

Здравствуйте, помогите удалить троян, Касперский не справляется. Еще с вирусом появилась программа pressure-plain, пытался удалить выдает ошибку: Runtime error (at 39:245). Гуглил что это, что то связано с программой Runtime, пробовал решить, писало что все исправлено, а на деле нет. Возможно нужно сначала вирус удалить, чтобы решить эту проблему. Возможно все появилось после этого файла: install-pack_kkKzXYvo.exe

CollectionLog-2022.06.27-18.40.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\misch\AppData\Local\Programs\Ghostery\716160c056.msi','');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-1904436795-1443552142-4008207966-1001');
 DeleteFile('C:\Users\misch\AppData\Local\Programs\Ghostery\716160c056.msi','64');
 DeleteSchedulerTask('pressure-plain');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\ProgramData\Microsoft\Oedp\qcpr.db.
Folder: C:\ProgramData\Microsoft\Oedp
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1904436795-1443552142-4008207966-1001\...\MountPoints2: {42887739-4df2-11ec-af3e-48e7daf547ae} - "D:\setup.EXE" /AUTORUN
HKU\S-1-5-21-1904436795-1443552142-4008207966-1001\...\MountPoints2: {448446b9-bdd1-11ec-af59-04421a01aced} - "D:\setup.exe" 
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C595FEA1-C2E3-4B1B-BE31-B4596D3A587F} - System32\Tasks\ASUSSmartDisplayControl => C:\Program Files (x86)\ASUS\ASUS Smart Display Control\ASUSSmartDisplayControl.exe (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Task: {CDC36C67-1652-40E2-887F-EE1ABD20AE42} - System32\Tasks\Opera scheduled Autoupdate 1635009196 => C:\Users\misch\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D3C4F5F2-A04A-49E8-BDF0-611287B3448E} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe --repair (Нет файла)
Task: {FF7E9490-5D43-4ECF-9033-EAE38F06D0A6} - System32\Tasks\bencher-eduction => C:\ProgramData\acerbic-accepting\bin.exe /H (Нет файла)
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\misch\AppData\Roaming\Opera Software\Opera Stable\Extensions\idimnjcjkopkcbalclocjcbcmkkcfpec
C:\Users\misch\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2022-06-27 16:08 - 2022-06-27 16:08 - 000000000 ____D C:\ProgramData\XTjbfvBftFXVbnf
2022-06-27 16:08 - 2022-06-27 16:08 - 000000000 ____D C:\ProgramData\presently-print
FirewallRules: [{D352187D-3980-4F9E-9A4D-9CF678E60EE2}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯㑜扢欲攮數 => Нет файла
FirewallRules: [{7E276D76-9962-4729-AC5F-DB0E4C122DB4}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{010CA732-3DF6-4DB3-8178-F3160CB0234E}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{BD9BB589-A6DC-4BF7-84C5-364D8C090DB3}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯婜㙣⹨硥e => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

thyrex

thyrex

Опубликовано
Опубликовано

Файл 

Цитата

C:\ProgramData\Microsoft\Oedp\qcpr.db.

Вам известен? 

Coroko

Coroko

Опубликовано
  • Автор
Опубликовано
1 минуту назад, thyrex сказал:

Файл 

Вам известен? 

нет

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnceEx\pno: [mez] => shell32|ShellExec_RunDLLA|regsvr32 -U -S "C:\ProgramData\Microsoft\Oedp\qcpr.db."
C:\ProgramData\Microsoft\Oedp
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Coroko

Coroko

Опубликовано
  • Автор
Опубликовано

Программа удалилась, но Касперский все еще видит вирус.

 

 

Еще раз просканил Касперским, он ничего не нашел. Большое спасибо за предоставленную помощь)

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
    • belodrol
      [РЕШЕНО] Здраствуйте уже давно сидит этот вирус (MEM:Trojan.Win32.SEPEH.gen) касперский его видит, но удалить не может, после перезагрузки каждый раз обратно появляется
      Автор belodrol
      Обнаружен такой вирус не удаляется

      CollectionLog-2025.07.27-16.47.zip
    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • Kultuch
      Два трояна. Не поддаются лечению(MEM:Trojan.Win32.SEPEH.gen, MEM:Trojan.Multi.Agent.gen)
      Автор Kultuch
      Здравствуйте! 
       
      После скачивания файла с неизвестного источника обнаружились два вируса. Лечение не помогает, Kaspersky Virus Removal Tool также не помог.

      CollectionLog-2025.03.18-15.27.zip
×
×
  • Создать...