Перейти к содержанию

[РЕШЕНО] Неудаляемый MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Доброго времени суток! Читал несколько тем с этим трояном, который после удаления и перезагрузки появляется снова и решения у всех индивидуальные. Кроме того, Kaspersky Security Cloud выдает сообщения о том, что процесс rundll32.exe пытается подключиться к адресу: 199.249.230.168:443, а процесс regsvr.exe к 195.88.57.217:443. Помогите, пожалуйста.

2.jpg

1.jpg

CollectionLog-2022.10.08-09.01.zip Addition.txt FRST.txt

Изменено пользователем PVldN
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\...\RunOnceEx\xychuz: [qdwvwj] => shell32.dll|ShellExec_RunDLL|CONTROL.EXE "C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d." <==== ВНИМАНИЕ
    Zip: C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2759184648-1774224521-3976938495-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {2C9C76F9-C522-487D-AB49-81A9B00BE97F} - System32\Tasks\Temp => powershell.exe Get-ChildItem -Path $env:TEMP -Force -Recurse | Remove-Item -Force -Recurse
    AutoConfigURL: [{79803453-6256-4592-B0FF-4A4C3501F41F}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    AutoConfigURL: [{89E34B32-F261-498D-ADEA-3E9F9C0289A8}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Для верности сделайте ещё такой скан:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов, в зависимости от мощности системы, количества файлов и т.д. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
09.10.2022 в 13:32, Sandor сказал:

Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, PVldN сказал:

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание в ЛС мне или  @Sandor.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, Sandor сказал:

Делайте сканирование MSS.

Сделано! Ссылку на архив в ЛС отправил.

msert.log

Изменено пользователем PVldN
Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Если подтверждаете, что проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.388.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5008212 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.00 alpha (x64) v.20.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.4.2 (58740.1105) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, PVldN сказал:

Сделано! Ссылку на архив в ЛС отправил.

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, regist сказал:

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

Доброе утро! Если необходимо, так же в ЛС могу отправить ссылку на ресурс, откуда был скачан архив. Рекомендации применю, думаю тему можно закрывать. Всем, кто помогал - большое спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • DmitriyKaplin
      От DmitriyKaplin
      Добрый день! Столкнулся с проблемкой - нужно удалить с сервера KSWS, но появились ошибки.
       
      Делал удаление задачей с KSC - задача прошла успешно, но по факту на сервере KSWS так  и остался. Хотел локально через приложения/все программы удалить, но кнопки изменить и удалить не кликабельные (серые) - как исправить это, что в политике поменять нужно чтобы можно было удалять самому в случае чего?
       
      Заранее спасибо за ответ! 
    • zartanoxx
      От zartanoxx
      Здравствуйте, вчера пытался скачать террарию (НЕ СКАЧИВАЙТЕ С ЭТОГО САЙТА!!! https://igrovaya.org/121-terraria.html) и словил жёсткий майнер, сразу понял что его словил, скачал MalwareBytes, и этот теперь майнер сделал процесс MalwareBytes таким, что у меня нет прав его закрыть, он просто сидит в процессах, жрёт 250 мб оперативки и иногда поджирает процессор. Пытался многими программами удалить, но ничего не получилось. Так же флешку загрузочную на другом компе проверил, там даже в бут меню её нет, а у меня она появляеться, но пишет что диск повреждён, помогите пожалуйста.
      Проверялся такими программами :
      1) Dr.Web CureIt!
      2) ESET Online Scanner
      3) KVRT
      4) AdwCleaner 
      5) HitmanPro
      6) UnHackMe

      Так пишет и когда процесс пытаюсь закрыть, и когда службу пытаюсь остановить
    • Batyrkhan
      От Batyrkhan
      И снова здравствуйте, недавно скачивал подозрительную прогу и это мне обернулось боком, сканировал всеми возможными антивирусами включая самого касперского, KVRT тоже не помог,Касперский его не обнаруживает а вот Windows Defender обнаруживает, так же он обнаруживает другие трояны с другим названием, но сюдя во всему они одинаковы, так же в "Службы" отсутствуют все что нужно для Центра обновлений и когда запускаешь Microsoft Store выдает ошибку-Код: 0x80070424 и сам центр обновлений не запускается пишет "Что-то пошло не так" во время запуска устранения проблем с центром обновлений пишет-некоторые параметры безопасности отсутствуют или были изменены,на этом всё.
      CollectionLog-2022.10.09-20.33.zip
      Addition.txt FRST.txt
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • Realhike
      От Realhike
      Здравствуйте, dialersvc32.job и dialersvc64.job не удаляются, видеокарта загружена на 95-100% при подключении к сети интернет

      CollectionLog-2022.09.20-10.02.zip
×
×
  • Создать...