[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen

[fil_loko_lp 0]

Здравствуйте! 
Случилась такая ситуация:  украли крипту с кошелька Exodus, пошел разбираться с чем это связанно.
После проверки KVRT нашел неудаляемый  MEM:Trojan.Win32.SEPEH.gen. 
Из поиска по форуму я понял что без помощи специалиста мне не разобраться. 
Прикрепляю файл логов из программы AutoLogger, и логи от Farbar Recovery Scan Tool (тк из предыдущих тем я понял что они нужны).

Заранее вам огромное спасибо!

CollectionLog-2022.12.22-18.37.zip Addition.txt FRST.txt

[mike 1 1 093]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','');
 DeleteFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x64');
 DeleteSchedulerTask('InfoProtectorNetCacheCleanerTask');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

[fil_loko_lp 0]

Сделал все согласно инструкции.
Логи прикрепляю.

CollectionLog-2022.12.22-19.32.zip

[mike 1 1 093]

Карантин получил. Сделайте новые логи frst.txt, addition.txt

[fil_loko_lp 0]

Готово!
 

FRST.txt Addition.txt

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   HKLM-x32\...\Run: [] => [X]
   2022-12-22 19:23 - 2022-04-11 15:15 - 000000000 ____D C:\Users\Roman Panfilov\AppData\Roaming\Cihdf
   FirewallRules: [TCP Query User{65F53919-F50E-4106-B80B-53C1D3F1D203}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
   FirewallRules: [UDP Query User{96D57F09-CD61-480E-9655-81927A80F7A2}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
   Folder: C:\FRST\Quarantine

   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[fil_loko_lp 0]

Прикрепляю Fixlog.
Архива на рабочем столе не было.

Fixlog.txt

[mike 1 1 093]

Topaz Gigapixel AI - эта программа была скачена с официального сайта производителя? Откуда загружали эту программу?

 

Sqixzw.exe - HEUR:Trojan.MSIL.Agentb.gen

Изменено 22 декабря, 2022 пользователем mike 1

[fil_loko_lp 0]

Пиратка с cgpeers. Через нее у меня битки и утащили как я понимаю?
Руками ее удалить или есть какие-то более умные способы?

[mike 1 1 093]

2 минуты назад, fil_loko_lp сказал:

Пиратка с cgpeers

Скиньте ссылку на нее в ЛС. 

 

2 минуты назад, fil_loko_lp сказал:

Через нее у меня битки и утащили как я понимаю?

Скорее всего да. Рекомендую сменить пароли и включить 2FA. 

 

3 минуты назад, fil_loko_lp сказал:

Руками ее удалить или есть какие-то более умные способы?

Антивирус скоро начнет детектировать этот файл при следующим обновлении антивирусных баз.

 

[fil_loko_lp 0]

Если я вас верно понял, мне необходимо установить Антивирус Касперского, дождаться обновления антивирусных баз, далее удалить вирус. И после этого уже менять пароли. Верно?

PS:
Спасибо вам огромное за помощь! 

[mike 1 1 093]

Вирус уже удален скриптом. Второй файл с валидной подписью и не похоже, что инфицирован. 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

 

 

+ Пришлите в архиве содержимое папки C:\KVRT_Data в архиве с паролем virus

[fil_loko_lp 0]

Готово!

KVRT2020_Data.zip SecurityCheck.txt

[mike 1 1 093]

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен) - лучше установить другой антивирус, например Kaspersky Security Cloud. 
 

 

AMD Software v.19.10.16 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 [+]
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Spotify v.1.1.90.859.gf1bb1e36 Внимание! Скачать обновления
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Standard v.17.2.5 Внимание! Скачать обновления
Yandex v.22.11.0.2500 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

[fil_loko_lp 0]

Еще раз большое спасибо за помощь!
Установил Касперский, остальное обновил.

Изменено 23 декабря, 2022 пользователем fil_loko_lp