Перейти к содержанию

[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Здравствуйте! 
Случилась такая ситуация:  украли крипту с кошелька Exodus, пошел разбираться с чем это связанно.
После проверки KVRT нашел неудаляемый  MEM:Trojan.Win32.SEPEH.gen. 
Из поиска по форуму я понял что без помощи специалиста мне не разобраться. 
Прикрепляю файл логов из программы AutoLogger, и логи от Farbar Recovery Scan Tool (тк из предыдущих тем я понял что они нужны).

Заранее вам огромное спасибо!

CollectionLog-2022.12.22-18.37.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','');
 DeleteFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x64');
 DeleteSchedulerTask('InfoProtectorNetCacheCleanerTask');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    2022-12-22 19:23 - 2022-04-11 15:15 - 000000000 ____D C:\Users\Roman Panfilov\AppData\Roaming\Cihdf
    FirewallRules: [TCP Query User{65F53919-F50E-4106-B80B-53C1D3F1D203}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    FirewallRules: [UDP Query User{96D57F09-CD61-480E-9655-81927A80F7A2}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    Folder: C:\FRST\Quarantine


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Topaz Gigapixel AI - эта программа была скачена с официального сайта производителя? Откуда загружали эту программу?

 

Sqixzw.exe - HEUR:Trojan.MSIL.Agentb.gen

Изменено пользователем mike 1
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, fil_loko_lp сказал:

Пиратка с cgpeers

Скиньте ссылку на нее в ЛС. 

 

2 минуты назад, fil_loko_lp сказал:

Через нее у меня битки и утащили как я понимаю?

Скорее всего да. Рекомендую сменить пароли и включить 2FA. 

 

3 минуты назад, fil_loko_lp сказал:

Руками ее удалить или есть какие-то более умные способы?

Антивирус скоро начнет детектировать этот файл при следующим обновлении антивирусных баз.

 

image.png

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Если я вас верно понял, мне необходимо установить Антивирус Касперского, дождаться обновления антивирусных баз, далее удалить вирус. И после этого уже менять пароли. Верно?

PS:
Спасибо вам огромное за помощь! 

Ссылка на сообщение
Поделиться на другие сайты

Вирус уже удален скриптом. Второй файл с валидной подписью и не похоже, что инфицирован. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

 

+ Пришлите в архиве содержимое папки C:\KVRT_Data в архиве с паролем virus

Ссылка на сообщение
Поделиться на другие сайты

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен) - лучше установить другой антивирус, например Kaspersky Security Cloud. 
 

 

AMD Software v.19.10.16 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 [+]
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Spotify v.1.1.90.859.gf1bb1e36 Внимание! Скачать обновления
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Standard v.17.2.5 Внимание! Скачать обновления
Yandex v.22.11.0.2500 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Ссылка на сообщение
Поделиться на другие сайты

Еще раз большое спасибо за помощь!
Установил Касперский, остальное обновил.

Изменено пользователем fil_loko_lp
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Matvey
      От Matvey
      Здравствуйте. Обнаружил у себя на компьютере майнер, находится по пути C:\ProgramData\RealtekHD и WindowsTask. Прошу помощи с удалением, спасибо.
      CollectionLog-2023.01.06-20.38.zip
    • Данил322
      От Данил322
      Здравствуйте, прошу вас о помощи, недавно заметил подозрительную активность на пк, процессор сильно грузится в простое, залез в диспетчер и увидел что повершелл грузит его на 30-40% а после включения диспетчера загрузка уходит, прошу пожалуйста если можно подетально обьяснить шаги действий, я чайник, архив скана из программы  Farbar Recovery Scan Tool прилагаю
      Архив WinRAR.rar
    • KlausHammer
      От KlausHammer
      Знакомый поимал Trojan.Encrypted. Точно не известно после каких действий это произошло, но зашифровало почти все. Говорит был запущен exel, приложение от MSI, браузер и музыка. После того как перезагруился ноутбук, он заметил, что документы не открываются.
      Addition.txt FRST.txt Neuer Ordner.zip
    • Матвей Аксенов
      От Матвей Аксенов
      Защитник виндовс обнуражил файл под именем cryptinject mtb, попытался через него удалить, но не удалось, также в исключении проверки безопасности виндус, обнаружил системные файлы которые находятся под исключением и удалить их из списка не могу, пытался, подозреваю что мешает вирус. Скачал Касперски ремувал тул, пока результат никакой, пытался скачать др веб курейт, но сайт на пк блокирует вирус, как и этот форум, поэтому пишу с телефона и не могу дать логи. Помогите, что следует делать, и как избавляться от этой заразы. Стоит ли вообще переустанавливать виндус? Никогда этим не занимался, поэтому стремаюсь
×
×
  • Создать...