Перейти к содержанию

[РЕШЕНО] Неудаляемый MEM:Trojan.Win32.SEPEH.gen


PVldN

Рекомендуемые сообщения

Доброго времени суток! Читал несколько тем с этим трояном, который после удаления и перезагрузки появляется снова и решения у всех индивидуальные. Кроме того, Kaspersky Security Cloud выдает сообщения о том, что процесс rundll32.exe пытается подключиться к адресу: 199.249.230.168:443, а процесс regsvr.exe к 195.88.57.217:443. Помогите, пожалуйста.

2.jpg

1.jpg

CollectionLog-2022.10.08-09.01.zip Addition.txt FRST.txt

Изменено пользователем PVldN
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\...\RunOnceEx\xychuz: [qdwvwj] => shell32.dll|ShellExec_RunDLL|CONTROL.EXE "C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d." <==== ВНИМАНИЕ
    Zip: C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2759184648-1774224521-3976938495-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {2C9C76F9-C522-487D-AB49-81A9B00BE97F} - System32\Tasks\Temp => powershell.exe Get-ChildItem -Path $env:TEMP -Force -Recurse | Remove-Item -Force -Recurse
    AutoConfigURL: [{79803453-6256-4592-B0FF-4A4C3501F41F}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    AutoConfigURL: [{89E34B32-F261-498D-ADEA-3E9F9C0289A8}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Для верности сделайте ещё такой скан:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов, в зависимости от мощности системы, количества файлов и т.д. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

09.10.2022 в 13:32, Sandor сказал:

Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, PVldN сказал:

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание в ЛС мне или  @Sandor.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

18 часов назад, Sandor сказал:

Делайте сканирование MSS.

Сделано! Ссылку на архив в ЛС отправил.

msert.log

Изменено пользователем PVldN
Ссылка на комментарий
Поделиться на другие сайты

Хорошо. Если подтверждаете, что проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.388.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5008212 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.00 alpha (x64) v.20.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.4.2 (58740.1105) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, PVldN сказал:

Сделано! Ссылку на архив в ЛС отправил.

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, regist сказал:

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

Доброе утро! Если необходимо, так же в ЛС могу отправить ссылку на ресурс, откуда был скачан архив. Рекомендации применю, думаю тему можно закрывать. Всем, кто помогал - большое спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Nikita P.
      От Nikita P.
      Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

      CollectionLog-2024.12.19-23.27.zip
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
×
×
  • Создать...