[РЕШЕНО] Не удаляется MEM.TROJAN.WIN32.SEPEH

[triada13]

Не удаляется MEM.TROJAN.WIN32.SEPEH

CollectionLog-2022.07.13-15.38.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\srs.lnk', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\python.exe', '');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\srs.lnk');
 DeleteFile('C:\Users\Александр\AppData\Roaming\python.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[triada13]

Добрый  день.

Вот файлы.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://go.mail.ru/?homepage=1","hxxps://www.google.com/","hxxp://www.hxxps://www.google.com/.com/?type=hp&ts=1448604913&z=b15298886a9812d7efe2edeg8zfz3bcq3edz7t2o8z&from=cmi&uid=TOSHIBAXMQ01ABF050_93D5SA8GSXX93D5SA8GS","hxxp://www.hxxps://www.google.com/.com/?type=hp&ts=1448691086&z=2513b25d7fc9b92ae5e11a2g3z8z6bbq9tbgde4tet&from=cmi&uid=TOSHIBAXMQ01ABF050_93D5SA8GSXX93D5SA8GS","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/"
  FirewallRules: [{C73491FA-5C85-47D4-8C5A-1E915F92DF93}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{C5774ED5-FF0E-471A-9E90-7DB648DB2DA8}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{DDCB1470-C760-4094-AD90-94D03EF67557}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{20F487EB-3715-4B2B-A2B2-AC41E0CBD06D}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{89CB614E-F12F-4580-B7F0-201E1AC19B4E}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{1CF56598-99F8-448E-9824-7A1EEFCC4F24}] => (Allow) G:\MInstAll\software\Internet\AnyDesk-5.4.2.exe => Нет файла
  FirewallRules: [{DFCA94FD-1356-4935-98E7-CA5ABF6A1D12}] => (Allow) LPort=8028
  FirewallRules: [{BE13DC7B-22BE-4E92-9801-ED201ECC3223}] => (Allow) LPort=8028
  FirewallRules: [{66F695D5-1509-484E-9F1A-263ABA4C1D92}] => (Allow) LPort=8028
  FirewallRules: [{430AA240-9832-40BD-BB07-17918EA6A10A}] => (Allow) LPort=8028
  FirewallRules: [{0547F1D7-72FB-4928-A25E-EC25C01277AB}] => (Allow) LPort=8028
  FirewallRules: [{9A76A50F-F0E2-4E79-838E-9429AEB76B3F}] => (Allow) LPort=8028
  FirewallRules: [{92FA7F72-FFFC-44B9-ACB3-DDF406111C51}] => (Allow) LPort=8028
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[triada13]

Добрый  вечер.

Вот файл.

Fixlog.txt

[Sandor]

Извините за задержку с ответом.

Проблема ещё сохраняется?

[triada13]

Добрый день.

Да вроде не проявлялась.

Огромное спасибо за помощь.

 

Изменено 21 июля, 2022 пользователем triada13

[Sandor]

Хорошо. Тогда в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[triada13]

Добрый  вечер.

Вот файл.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Native Client  v.11.4.7462.6 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.8 Внимание! Клиент сети P2P с рекламным модулем!.
eMule 1.0.1.4 v.1.0.1.4 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.303 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.02 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Примите к сведению и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[triada13]

Большое спасибо.

Приму к сведению.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".