Перейти к содержанию

[РЕШЕНО] Неудаляемый MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Доброго времени суток! Читал несколько тем с этим трояном, который после удаления и перезагрузки появляется снова и решения у всех индивидуальные. Кроме того, Kaspersky Security Cloud выдает сообщения о том, что процесс rundll32.exe пытается подключиться к адресу: 199.249.230.168:443, а процесс regsvr.exe к 195.88.57.217:443. Помогите, пожалуйста.

2.jpg

1.jpg

CollectionLog-2022.10.08-09.01.zip Addition.txt FRST.txt

Изменено пользователем PVldN
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\...\RunOnceEx\xychuz: [qdwvwj] => shell32.dll|ShellExec_RunDLL|CONTROL.EXE "C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d." <==== ВНИМАНИЕ
    Zip: C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2759184648-1774224521-3976938495-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {2C9C76F9-C522-487D-AB49-81A9B00BE97F} - System32\Tasks\Temp => powershell.exe Get-ChildItem -Path $env:TEMP -Force -Recurse | Remove-Item -Force -Recurse
    AutoConfigURL: [{79803453-6256-4592-B0FF-4A4C3501F41F}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    AutoConfigURL: [{89E34B32-F261-498D-ADEA-3E9F9C0289A8}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Для верности сделайте ещё такой скан:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов, в зависимости от мощности системы, количества файлов и т.д. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
09.10.2022 в 13:32, Sandor сказал:

Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, PVldN сказал:

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание в ЛС мне или  @Sandor.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, Sandor сказал:

Делайте сканирование MSS.

Сделано! Ссылку на архив в ЛС отправил.

msert.log

Изменено пользователем PVldN
Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Если подтверждаете, что проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.388.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5008212 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.00 alpha (x64) v.20.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.4.2 (58740.1105) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, PVldN сказал:

Сделано! Ссылку на архив в ЛС отправил.

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, regist сказал:

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

Доброе утро! Если необходимо, так же в ЛС могу отправить ссылку на ресурс, откуда был скачан архив. Рекомендации применю, думаю тему можно закрывать. Всем, кто помогал - большое спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Kamo. A.
      От Kamo. A.
      Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
       
      CollectionLog-2023.01.29-17.48.zip
    • Maksat
      От Maksat
      Добрый день! Коллеги, помогите пожалуйста решить такую проблему. 
      Есть критичный ПК, на котором работает специфический софт. На ПК установлен Kaspersky endpoint security 11.10. 
      Проблема заключается в том, что KES блокирует USB. И парадокс заключается в том, что на ПК отсутствует агент администрирования. То ест, продукт KES не управляем посредством Kaspersky security center. Кроме того на ПК отсутствует сеть. Одним словом я не могу скопировать на указанный ПК агент агент администрирования, что бы продукт каспера стал управляемым. При удалении Каспера не подходит не один пароль, кторый когда либо имелся в организации. Я не могу так же скопировать туда утилиту для сброса пароля KLAPR https://support.kaspersky.ru/common/settings/14674#block4/.  
      Попробовал сделать:
       
       Запустить через безопасный режим (+admin) ·      
      Перейти в ветку реестра:
      o   Для 64-битных ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\KES*\settings ·       Найти параметр EnablePswrdProtect и исправить значение 1 на 0
      ·       Удалить значение параметра OPEP
      ·       Перезагрузить компьютер в обычном режиме  
      Не помогло. Как мне удалить каспера если он не принимает наши пароли?  Или как мне обойти блокировку УСБ который делает каспер?  Вендор специфического софта отказывается переустановить ОС на ПК, так как проблема на стороне касперского.   
    • xionar
    • vovusja
      От vovusja
      Здравствуйте. Таже проблема. Вирус не могу удалить. Помогите
      avz_log.txt
    • akazaki
      От akazaki
      Здравствуйте, при сканировании AdwCleaner'ом постоянно, после каждого сканирования появляется эта угроза "PUP.Optional.Legacy" эта угроза приносит проблему с курсором, справа сверху курсора каждые 1.5 секунд появляется синий кружок, как будто что-то открывается, пробовал много антивирусов но только AdwCleaner находит этот вирус, также после сканирования с Malwarebytes нашло целую семью PUP.Optional вирусов, после удаления этого вируса AdwCleaner'ом проблема с курсором пропадает, а после перезагрузки ноутбука проблема снова появляется, в автозагрузке этого вируса нету, пробовал уже много вариантов избавится от этого, но ничего не помогло, похоже, что-то серьезное. Хотелось бы получить здесь помощь, заранее спасибо
      CollectionLog-2022.12.28-16.51.zip
×
×
  • Создать...