Перейти к содержанию

Вирус MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

На днях антивирус обнаружил этот вирус. Пытается его удалить, но после лечения заражения и перезагрузки компьютера вирус появляется вновь, не знаю что делать

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Что требуется прикрепите к вашему следующему сообщению в текущей теме.

Ссылка на сообщение
Поделиться на другие сайты

CollectionLog-2022.07.25-13.04.zip

Вот файл

 

Проверил программами из порядка оформления запроса о помощи, ничего не обнаружено, но вирус есть

Изменено пользователем sa1nt_s
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteSchedulerTask('7856757');
 DeleteSchedulerTask('bscQggfrKcqucGuDFC');
 DeleteSchedulerTask('C:\WINDOWS\Task\bscQggfrKcqucGuDFC.job');
 DeleteSchedulerTask('ProactiveScan');
 DeleteFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '32');
 DeleteFile('C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnceEx\zb: [fnrojh] => shell32.dll|ShellExec_RunDLLA|control "C:\ProgramData\Microsoft\Wlb\gme.e."
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\Run: [MediaGet2] => C:\Users\123\MediaGet2\mediaget.exe --minimized (Нет файла)
    HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {3502187a-5370-11eb-9c39-00d8610e86ed} - "G:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {c0cab578-c1f2-11eb-9c57-00d8610e86ed} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\...\MountPoints2: {d77a8482-8876-11eb-9c43-00d8610e86ed} - "F:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {46C69439-5332-41D4-8444-6CB4C3130E17} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла)
    Task: {A4C30B25-7E65-4FA0-B26E-2745BFCF80BE} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1 (Нет файла)
    Task: C:\WINDOWS\Tasks\bscQggfrKcqucGuDFC.job => C:\Users\123\AppData\Local\Temp\PbtXPozpJUddCAeRP\IargnyEClsCBcRh\xwWMbAw.exe
    C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-3627426239-2550691131-3477821260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    2022-07-19 17:55 - 2022-07-19 18:05 - 000000514 _____ C:\WINDOWS\Tasks\bscQggfrKcqucGuDFC.job
    2022-07-19 17:55 - 2022-07-19 18:04 - 000000000 ____D C:\ProgramData\procurement-plates
    2022-07-10 21:51 - 2022-07-25 12:33 - 000000000 ____D C:\ProgramData\ProductData
    2022-07-10 21:51 - 2022-07-10 21:51 - 000000000 ____D C:\Users\123\AppData\LocalLow\IObit
    2022-07-10 21:50 - 2022-07-22 12:43 - 000000000 ____D C:\Users\123\AppData\Roaming\IObit
    2022-07-10 21:50 - 2022-07-22 12:43 - 000000000 ____D C:\ProgramData\IObit
    bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
    ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
    AlternateDataStreams: C:\Users\123\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\123\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [466]
    FirewallRules: [{43355FEF-061B-4D3A-8429-DF35AECC8AC7}] => (Allow) C:\Users\123\AppData\Local\Orbitum\Application\orbitum.exe => Нет файла
    FirewallRules: [TCP Query User{F5A36319-38D8-4E39-B8B5-B1497A25DF41}C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
    FirewallRules: [UDP Query User{F71D16BE-A854-4B65-A3E6-245AC58F3AB7}C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\123\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
    FirewallRules: [{EDAB139A-EE54-4D8B-9DB0-74732C53A463}] => (Allow) C:\Users\123\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{D0DBE45B-A27F-4948-B7DE-FB868934D555}] => (Allow) C:\Users\123\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{03AAE2FC-97BD-42CB-8D10-0E058D36E944}] => (Allow) C:\Users\123\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{AAA582F0-CDF2-48E9-9DE2-750EF9E583A5}] => (Allow) C:\Users\123\MediaGet2\QtWebEngineProcess.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появятся скрытые ранее

Цитата

 

bl

ph

 


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Также удалите нежелательные

Цитата

 

Windows Manager

WindowsRar 5.72.0.5625

 

 

 

Проверьте и сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

Значит вы не полностью скопировали код. Нужно выделить всё от слова Start до последнего двоеточия после слова End

Ссылка на сообщение
Поделиться на другие сайты

В исключениях Защитника видны два лишних.

Попробуйте удалить их самостоятельно. Если не получится, сообщите, удалим скриптом.

 

После этого да, проверьте.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...