Назойливый вирус

[Alexander-Ural]

В течение недели, антивирус Касперского выдавал предупреждения о зашифрованных соединениях к различным веб-адресам (цепочка сертификатов не является завершенной). 2 дня назад, антивирус оповестил об обнаружении весьма назойливого вируса MEM:Trojan.Win32.SEPEH.gen. Попытки лечить с перезагрузкой не привели к положительным результатам.

 

P.S. Сканирование с помощью Kaspersky Virus Removal Tool дало результат: был найден файл AAct.exe, который программа удалила. Увы, никакого отношения к проблеме, файл не имел. Буквально через минуту после перезагрузки системы, антивирус Касперского снова предупредил о заражении трояном.

CollectionLog-2022.10.05-19.46.zip

[Sandor]

Здравствуйте!

 

Деинсталлируйте устаревший

Цитата

Adobe Flash Player 27 PPAPI

 

Если пользуетесь браузером Google Chrome, переустановите его.

Если не пользуетесь, всё равно скачайте актуальную версию, установите, затем удалите.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Alexander-Ural]

Выполнено

AdwCleaner[S01].txt

Изменено 10 октября, 2022 пользователем Alexander-Ural

[regist]

файл AdwCleaner[C00].txt покажите.

[Alexander-Ural]

Что же раньше никто не предупредил, что нужен [C00], я его удалил, посчитав, что в нём нет нужной информации. К тому же, в комментарии консультанта, речь была только о файле [Sxx}.

[Sandor]

Но ведь консультант не предлагал ничего самостоятельно удалять, верно?

Не страшно. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[regist]

3 часа назад, Alexander-Ural сказал:

Что же раньше никто не предупредил, что нужен [C00], я его удалил, посчитав, что в нём нет нужной информации.

 вы занялись самодеятельностью и  самостоятельно удали в утилите вещи не дождавшись ответа от хелпера, а потом ещё опять по собственной инициативе замели следы. В итоге что там вы удалили и можно было ли это удалять без вреда для остального известного только вам.

Если бы самодеятельностью не занимались и делали в точности по инструкции хелепера, то этот лог у вас вообще не создался бы на данном этапе.

[Alexander-Ural]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
  CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl]
  AlternateDataStreams: C:\ProgramData\TEMP:0B3EF173 [121]
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Alexander-Ural]

Fixlog.txt

[Sandor]

Проблема ещё сохраняется?

[Alexander-Ural]

Слава Богу, всё закончилось. Большое спасибо.

[Sandor]

Хорошо, в завершение и на будущее:

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.