[РЕШЕНО] Неудаляемый MEM:Trojan.Win32.SEPEH.gen

[PVldN 0]

Доброго времени суток! Читал несколько тем с этим трояном, который после удаления и перезагрузки появляется снова и решения у всех индивидуальные. Кроме того, Kaspersky Security Cloud выдает сообщения о том, что процесс rundll32.exe пытается подключиться к адресу: 199.249.230.168:443, а процесс regsvr.exe к 195.88.57.217:443. Помогите, пожалуйста.

CollectionLog-2022.10.08-09.01.zip Addition.txt FRST.txt

Изменено 8 октября, 2022 пользователем PVldN

[Sandor 1096]

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\...\RunOnceEx\xychuz: [qdwvwj] => shell32.dll|ShellExec_RunDLL|CONTROL.EXE "C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d." <==== ВНИМАНИЕ
  Zip: C:\Users\Aktay\AppData\Local\Temp\PlK5.n2d
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2759184648-1774224521-3976938495-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {2C9C76F9-C522-487D-AB49-81A9B00BE97F} - System32\Tasks\Temp => powershell.exe Get-ChildItem -Path $env:TEMP -Force -Recurse | Remove-Item -Force -Recurse
  AutoConfigURL: [{79803453-6256-4592-B0FF-4A4C3501F41F}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
  AutoConfigURL: [{89E34B32-F261-498D-ADEA-3E9F9C0289A8}] => hxxp://34.80.59.191/win.pac <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[PVldN 0]

Действия выполнил, после перезагрузки прошло около часа - полёт нормальный. Архив не пустой, вышлю.

Fixlog.txt

[Sandor 1096]

Для верности сделайте ещё такой скан:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов, в зависимости от мощности системы, количества файлов и т.д. Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

[PVldN 0]

09.10.2022 в 13:32, Sandor сказал:

Если архив не пустой, отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

[Sandor 1096]

Хорошо, с карантином - отставить. Делайте сканирование MSS.

[regist 616]

9 часов назад, PVldN сказал:

Не могу отправить архив, т.к  почтовый сервер получателя принимает письмо за спам.

закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание в ЛС мне или  @Sandor.

[PVldN 0]

18 часов назад, Sandor сказал:

Делайте сканирование MSS.

Сделано! Ссылку на архив в ЛС отправил.

msert.log

Изменено 11 октября, 2022 пользователем PVldN

[Sandor 1096]

Хорошо. Если подтверждаете, что проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[PVldN 0]

4 часа назад, Sandor сказал:

Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt

[Sandor 1096]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.388.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5008212 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.00 alpha (x64) v.20.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.4.2 (58740.1105) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

 

Читайте Рекомендации после удаления вредоносного ПО

[regist 616]

12 часов назад, PVldN сказал:

Сделано! Ссылку на архив в ЛС отправил.

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

[PVldN 0]

12 часов назад, regist сказал:

Здравствуйте,

 В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 HEUR:Trojan.Win32.Agentb.gen
 Его детектирование будет включено в очередное обновление антивирусных баз.

Доброе утро! Если необходимо, так же в ЛС могу отправить ссылку на ресурс, откуда был скачан архив. Рекомендации применю, думаю тему можно закрывать. Всем, кто помогал - большое спасибо!

[regist 616]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".