[РЕШЕНО] Не получается удалить вирус MEM:Trojan.Win32.SEPEH.gen

[Sandor 1 253]

Файл

Цитата

C:\Windows\System32\Ms8AA2A644App.dll

скопируйте в другое место и залейте на www.virustotal.com

Ссылку на результат покажите.

[slam74 1]

Странно, но такого файла нет

 

11 часов назад, slam74 сказал:

Странно, но такого файла нет

Так же как и данной ветки, из лога FRST

[Sandor 1 253]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

[slam74 1]

TDSSKiller.3.1.0.28_13.09.2022_12.10.11_log.txt

[Sandor 1 253]

Либо в безопасном режиме прогоните KVRT, либо создайте флешку с KRD и пролечите с неё. Второе предпочтительнее.

После этого зайдите в нормальный режим и соберите новые логи FRST.txt и Addition.txt

[slam74 1]

7 часов назад, Sandor сказал:

Либо в безопасном режиме прогоните KVRT, либо создайте флешку с KRD и пролечите с неё. Второе предпочтительнее.

После этого зайдите в нормальный режим и соберите новые логи FRST.txt и Addition.txt

Сделаю, отпишусь! благодарю за советы

 

7 часов назад, Sandor сказал:

Либо в безопасном режиме прогоните KVRT, либо создайте флешку с KRD и пролечите с неё. Второе предпочтительнее.

После этого зайдите в нормальный режим и соберите новые логи FRST.txt и Addition.txt

Вопрос можно считать закрытым, решилось загрузкой с KRD, с удалением той длл-ки.

после тест KVRT, KES ничего не нашли

в логе FRST тоже вроде всё ок

Addition.txt FRST.txt

[Sandor 1 253]

Отлично!

Давайте ещё несколько хвостов почистим.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  S2 Ms8AA2A644App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 Ms8AA2A644App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  NETSVC: Ms8AA2A644AppC -> отсутствует путь к файлу.
  NETSVC: Ms8AA2A644AppB -> отсутствует путь к файлу.
  NETSVC: Ms8AA2A644AppA -> отсутствует путь к файлу.
  NETSVC: Ms8AA2A644AppBak -> отсутствует путь к файлу.
  NETSVC: Ms8AA2A644App -> отсутствует путь к файлу.
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms8AA2A644App => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms8AA2A644App => ""="Service"
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[slam74 1]

Fixlog.txt

[Sandor 1 253]

Завершаем:

 

1. 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

2. Читайте Рекомендации после удаления вредоносного ПО

[slam74 1]

Спасибо Вам за содействие! AVZ выдала пару рекомендаций, выполню сейчас. На данный момент проблемы нет!

[Soft 1 505]

 

Сообщение от модератора Soft

Сообщение выделено в индивидуальную тему

 

[Sandor 1 253]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".