[РЕШЕНО] MEM:trojan.win32.sepeh.gen

[Coroko]

Здравствуйте, помогите удалить троян, Касперский не справляется. Еще с вирусом появилась программа pressure-plain, пытался удалить выдает ошибку: Runtime error (at 39:245). Гуглил что это, что то связано с программой Runtime, пробовал решить, писало что все исправлено, а на деле нет. Возможно нужно сначала вирус удалить, чтобы решить эту проблему. Возможно все появилось после этого файла: install-pack_kkKzXYvo.exe

CollectionLog-2022.06.27-18.40.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\misch\AppData\Local\Programs\Ghostery\716160c056.msi','');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-1904436795-1443552142-4008207966-1001');
 DeleteFile('C:\Users\misch\AppData\Local\Programs\Ghostery\716160c056.msi','64');
 DeleteSchedulerTask('pressure-plain');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Coroko]

CollectionLog-2022.06.28-02.28.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Coroko]

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\ProgramData\Microsoft\Oedp\qcpr.db.
Folder: C:\ProgramData\Microsoft\Oedp
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1904436795-1443552142-4008207966-1001\...\MountPoints2: {42887739-4df2-11ec-af3e-48e7daf547ae} - "D:\setup.EXE" /AUTORUN
HKU\S-1-5-21-1904436795-1443552142-4008207966-1001\...\MountPoints2: {448446b9-bdd1-11ec-af59-04421a01aced} - "D:\setup.exe" 
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C595FEA1-C2E3-4B1B-BE31-B4596D3A587F} - System32\Tasks\ASUSSmartDisplayControl => C:\Program Files (x86)\ASUS\ASUS Smart Display Control\ASUSSmartDisplayControl.exe (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Task: {CDC36C67-1652-40E2-887F-EE1ABD20AE42} - System32\Tasks\Opera scheduled Autoupdate 1635009196 => C:\Users\misch\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D3C4F5F2-A04A-49E8-BDF0-611287B3448E} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe --repair (Нет файла)
Task: {FF7E9490-5D43-4ECF-9033-EAE38F06D0A6} - System32\Tasks\bencher-eduction => C:\ProgramData\acerbic-accepting\bin.exe /H (Нет файла)
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\misch\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\misch\AppData\Roaming\Opera Software\Opera Stable\Extensions\idimnjcjkopkcbalclocjcbcmkkcfpec
C:\Users\misch\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2022-06-27 16:08 - 2022-06-27 16:08 - 000000000 ____D C:\ProgramData\XTjbfvBftFXVbnf
2022-06-27 16:08 - 2022-06-27 16:08 - 000000000 ____D C:\ProgramData\presently-print
FirewallRules: [{D352187D-3980-4F9E-9A4D-9CF678E60EE2}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯㑜扢欲攮數 => Нет файла
FirewallRules: [{7E276D76-9962-4729-AC5F-DB0E4C122DB4}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{010CA732-3DF6-4DB3-8178-F3160CB0234E}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{BD9BB589-A6DC-4BF7-84C5-364D8C090DB3}] => (Allow) 㩃啜敳獲浜獩档䅜灰慄慴剜慯業杮瑜捯婜㙣⹨硥e => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Coroko]

Fixlog.txt

[thyrex]

Файл 

Цитата

C:\ProgramData\Microsoft\Oedp\qcpr.db.

Вам известен? 

[Coroko]

1 минуту назад, thyrex сказал:

Файл 

Вам известен? 

нет

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnceEx\pno: [mez] => shell32|ShellExec_RunDLLA|regsvr32 -U -S "C:\ProgramData\Microsoft\Oedp\qcpr.db."
C:\ProgramData\Microsoft\Oedp
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Coroko]

Fixlog.txt

[thyrex]

Проблема решена?

[Coroko]

Программа удалилась, но Касперский все еще видит вирус.

 

 

Еще раз просканил Касперским, он ничего не нашел. Большое спасибо за предоставленную помощь)

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Coroko]

SecurityCheck.txt