[РЕШЕНО] MEM: Trojan.Win32.SEPEH.gen возникает и не лечится

[TevirpO]

Скачал KMS активатор для активации винды. Сделав дело решил проверить комп на вирусы и увидел этот роян, который после лечения и перезагрузки компьютера снова появляется. 

CollectionLog-2022.08.11-16.22.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteSchedulerTask('dialersvc32.job');
 DeleteSchedulerTask('dialersvc64.job');
 DeleteSchedulerTask('dialersvc32');
 DeleteSchedulerTask('dialersvc64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[TevirpO]

CollectionLog-2022.08.11-18.42.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[TevirpO]

Вот архив

Архив WinRAR.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-748954170-3371266564-3764827542-1001\...\Run: [YandexBrowserAutoLaunch_63AFC551EAA2EA794B7B82956BB0A494] => "C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-748954170-3371266564-3764827542-1001\...\MountPoints2: {4587a806-4c10-11ea-824f-04d4c4ab6fd8} - "E:\autorun.exe" 
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-748954170-3371266564-3764827542-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{AA543B20-34FE-4584-B353-F1B9C012A280}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{DDE5ED10-85A3-4986-949B-1FFA933278A1}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{607D5ADA-9614-414D-A4DF-EAF2461AD1B8}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
FirewallRules: [{2EC1590B-7C12-46C6-872C-443D4827347B}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
FirewallRules: [{448153FB-BDA3-44D6-A107-C6A3710C62A9}] => (Allow) C:\Users\Александр\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{6A18B426-E7B5-41E0-AFCB-90D675B01B8E}] => (Allow) C:\Users\Александр\AppData\Local\GameCenter\GameCenter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[TevirpO]

Прикрепляю 

Fixlog.txt

[thyrex]

Проблема решена?

[TevirpO]

Каспер больше не показывает об угрозе. Похоже, что да. Спасибо большое за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[TevirpO]

SecurityCheck.txt

[thyrex]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17416 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.6029.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 Service Pack 1 (SP1) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Google Drive v.1.15.6464.228 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 8.91 v.8.91 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 9 v.9.5.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Web Companion v.7.0.2417.4248 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Исправляйте указанное, и на этом закончим.

[TevirpO]

Еще раз спасибо

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".