Вирус MEM:Trojan.Win32.SEPEH.gen

[sa1nt_s]

На днях антивирус обнаружил этот вирус. Пытается его удалить, но после лечения заражения и перезагрузки компьютера вирус появляется вновь, не знаю что делать

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Что требуется прикрепите к вашему следующему сообщению в текущей теме.

[sa1nt_s]

CollectionLog-2022.07.25-13.04.zip

Вот файл

 

Проверил программами из порядка оформления запроса о помощи, ничего не обнаружено, но вирус есть

Изменено 25 июля, 2022 пользователем sa1nt_s

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteSchedulerTask('7856757');
 DeleteSchedulerTask('bscQggfrKcqucGuDFC');
 DeleteSchedulerTask('C:\WINDOWS\Task\bscQggfrKcqucGuDFC.job');
 DeleteSchedulerTask('ProactiveScan');
 DeleteFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '32');
 DeleteFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[sa1nt_s]

CollectionLog-2022.07.25-13.42.zip

Вот

Изменено 25 июля, 2022 пользователем sa1nt_s

[Sandor]

Хорошо. Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[sa1nt_s]

FRST.txtAddition.txt

 

Извините, а скоро следующий этап?

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\RunOnceEx\zb: [fnrojh] => shell32.dll|ShellExec_RunDLLA|control "C:\ProgramData\Microsoft\Wlb\gme.e."
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\Run: [MediaGet2] => C:\Users\123\MediaGet2\mediaget.exe --minimized (Нет файла)
  HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {3502187a-5370-11eb-9c39-00d8610e86ed} - "G:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {c0cab578-c1f2-11eb-9c57-00d8610e86ed} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {d77a8482-8876-11eb-9c43-00d8610e86ed} - "F:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {46C69439-5332-41D4-8444-6CB4C3130E17} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла)
  Task: {A4C30B25-7E65-4FA0-B26E-2745BFCF80BE} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1 (Нет файла)
  Task: C:\WINDOWS\Tasks\bscQggfrKcqucGuDFC.job => C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe
  C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  2022-07-19 17:55 - 2022-07-19 18:05 - 000000514 _____ C:\WINDOWS\Tasks\bscQggfrKcqucGuDFC.job
  2022-07-19 17:55 - 2022-07-19 18:04 - 000000000 ____D C:\ProgramData\procurement-plates
  2022-07-10 21:51 - 2022-07-25 12:33 - 000000000 ____D C:\ProgramData\ProductData
  2022-07-10 21:51 - 2022-07-10 21:51 - 000000000 ____D C:\Users\123\AppData\LocalLow\IObit
  2022-07-10 21:50 - 2022-07-22 12:43 - 000000000 ____D C:\Users\123\AppData\Roaming\IObit
  2022-07-10 21:50 - 2022-07-22 12:43 - 000000000 ____D C:\ProgramData\IObit
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  AlternateDataStreams: C:\Users\123\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\123\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [466]
  FirewallRules: [{43355FEF-061B-4D3A-8429-DF35AECC8AC7}] => (Allow) C:\Users\123\AppData\Local\Orbitum\Application\orbitum.exe => Нет файла
  FirewallRules: [TCP Query User{F5A36319-38D8-4E39-B8B5-B1497A25DF41}C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
  FirewallRules: [UDP Query User{F71D16BE-A854-4B65-A3E6-245AC58F3AB7}C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
  FirewallRules: [{EDAB139A-EE54-4D8B-9DB0-74732C53A463}] => (Allow) C:\Users\123\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{D0DBE45B-A27F-4948-B7DE-FB868934D555}] => (Allow) C:\Users\123\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{03AAE2FC-97BD-42CB-8D10-0E058D36E944}] => (Allow) C:\Users\123\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{AAA582F0-CDF2-48E9-9DE2-750EF9E583A5}] => (Allow) C:\Users\123\MediaGet2\QtWebEngineProcess.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появятся скрытые ранее

Цитата

 

bl

ph

 

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Также удалите нежелательные

Цитата

 

Windows Manager

WindowsRar 5.72.0.5625

 

 

 

Проверьте и сообщите что с проблемой.

[sa1nt_s]

При нажатии кнопки исправить у меня появляется уведомление об отсутствии файла fixlist.txt

 

Что мне делать?

[Sandor]

Значит вы не полностью скопировали код. Нужно выделить всё от слова Start до последнего двоеточия после слова End

[sa1nt_s]

Всё сделал. Вот файл. Можно включать антивирус и проверить?

Fixlog.txt

[Sandor]

В исключениях Защитника видны два лишних.

Попробуйте удалить их самостоятельно. Если не получится, сообщите, удалим скриптом.

 

После этого да, проверьте.

[sa1nt_s]

Я удалил, они исчелзи, они же не смогут появиться?

 

Скажите пожалуйста

 

Вроде всё ок, спасибо

[Sandor]

Хорошо. Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.