Перейти к содержанию

Trojan.Win32.Inject.bkiu помогите вылечить!


vlad252005

Рекомендуемые сообщения

  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

  • vlad252005

    20

  • Tiare

    15

  • Roman_Five

    5

Top Posters In This Topic

Posted Images

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\1336DFB1E.sys');
DeleteFile('C:\WINDOWS\Temp\97E0B831.sys');
DeleteService('97E0B831');
DeleteService('1336DFB1E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- обновите Java до актуальной версии

 

 

Сделайте контрольные логи AVZ и RSIT.

 

 

 

Как самочувствие компьютера? Есть проблемы?

Ссылка на комментарий
Поделиться на другие сайты

Сейчас, спасибо Вам!, все уже нормально, раньше постоянно какое-то черное окно с текстом выскакивало на 20 сек, mail.ru не открывался, и при каждой новой странице выскакивало то окно. Сейчас ничего такого нет, уже все нормально. Сейчас сделаю логи.

 

Новую Java установил, скрипты сделал.

 

Судя по всему вирус еще есть, вчера не было проблем со входом в соц. сети, сегодня снова не впускает...

 

Судя по всему снова вирус активировался. Вчера не было проблем со входом в соц. сети, сегодня снова не могу войти, просит прислать смс.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты

нет, это что-то новенькое уже. Зачем восстановление системы отключили? Включайте, и создайте новую точку восстановления.

 

 

Пофиксите в HijackThis следующие строчки.

O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru

 

Что в папке C:\Program Files\kolobrod? Покажите содержимое (можно скриншот)

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\WINDOWS\kmsem\KMService.exe

 

 

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.

 

 

У вас все обновления на ОС установлены?

Ссылка на комментарий
Поделиться на другие сайты

Строчки в в HijackThis профиксил

Скриншоты приложил.

Результаты сканирования папки kolobrod:

https://www.virustotal.com/file/8a016675279...sis/1359734875/

https://www.virustotal.com/file/de03e7994df...sis/1359735049/

https://www.virustotal.com/file/d5f8a2a7a77...sis/1359735326/

https://www.virustotal.com/file/b77446a3927...sis/1359735424/

 

Код

C:\WINDOWS\kmsem\KMService.exe

 

 

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.

 

Я не понял что это за код (C:\WINDOWS\kmsem\KMService.exe

), и что с ним делать...

Как выгрузить все защитное ПО и драйвера виртуальных приводов? Sorry, но я к сожалению не знаю, никогда этим сам не занимался.

post-27649-1359734957_thumb.jpg

post-27649-1359734964_thumb.jpg

post-27649-1359734970_thumb.jpg

Изменено пользователем vlad252005
Ссылка на комментарий
Поделиться на другие сайты

Результаты сканирования папки kolobrod:

Вот он ваш новый зловред. Что вы такое скачивали, откуда эта папка? Папку пока не удалять! Отправим на анализ

 

Я не понял что это за код

C:\WINDOWS\kmsem\KMService.exe

проверить на Вирустотал

 

Как выгрузить все защитное ПО

Выгрузите антивирус и др. защитное ПО (если есть).

Ссылка на комментарий
Поделиться на другие сайты

Напомню незакрытые вопросы:

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.
ВСЕ обновления установлены на ОС?
Ссылка на комментарий
Поделиться на другие сайты

Вроде сделал...

какой-то он незавершённый...

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\windows\kmsem\kmservice.exe');
QuarantineFile('C:\Program Files\kolobrod\*.*','');
QuarantineFile('c:\windows\kmsem\kmservice.exe','');
DeleteFileMask('C:\Program Files\kolobrod\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\kolobrod\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

 

обновления ОС все установлены

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Ок, сейчас все сделаю.

 

1. файл Quarantine.zip из папки AVZ отправил через Личный кабинет.

2. Malwarebytes' Anti-Malware все так же не устанавливается. При установке выпадает сообщение CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Много раз нажимаю Ок., и когда высвечивается окно завершения, снимаю галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO ", после чего выходит сообщение:

ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

3. Выполните в AVZ скрипт из файла ScanVuln.txt - скрипт выполнил, но вот файл avz_log.txt не нашел.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • koshelev_forwor
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • woknelam
      От woknelam
      Здравствуйте. Не удаляется троян. Trojan.Win32.SEPEH.gen Вроде бы лечит, потом выдает синий экран , перезагрузка и все заново
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe

×
×
  • Создать...