Перейти к содержанию
Правила раздела

MEM: Trojan.Win32.SEPEH.gen лечится, затем востанавливается

Filip2p

Автор Filip2p,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Filip2p

Filip2p 0

Опубликовано
Опубликовано

Здравствуйте. Вот уже продолжительное время борюсь с скрытой угрозой MEM: Trojan.Win32.SEPEH.gen. Пользуюсь Kspesky free. Переодически антивирус находит вирус, пробовал разные метоты лечения. Но вирус востанавливается и вновь съедает ресурсы ПК. Краем глаза, иногда, замечаю как на долю секунды открывается командная строка (предположение) и исчезает. Пользуюсь ноутбуком, в простое куллера шумят на всю, стоит активировать ноутбук шум прекращается. Просканировал пк Farbar может пригодиться, прежде чем создавать тему, читал форум, без помощи специалистов наврядли что получится. 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • Filip2p

    16

  • Sandor

    15

  • regist

    2

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor

Здравствуйте!   Начните со стандартных логов по правилам раздела: Порядок оформления запроса о помощи

regist

1) Если бы вы внимательно читали инструкцию, то прочли бы что на время сканирования антивирус надо отключать. 2) Только что перепроверил касперским он не блокируется. Если у вас иначе, то

Sandor

Вы ведь ранее это уже делали:   Вот инструкция: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместиму

Posted Images

Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

Начните со стандартных логов по правилам раздела: Порядок оформления запроса о помощи

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
4 часа назад, Filip2p сказал:

Автологер не запускается, блокируется антивирусом.

1) Если бы вы внимательно читали инструкцию, то прочли бы что на время сканирования антивирус надо отключать.

2)

13 часов назад, Filip2p сказал:

Пользуюсь Kspesky free.

Только что перепроверил касперским он не блокируется. Если у вас иначе, то хотя бы скрин покажите.

 

3) Пользуетесь вы по факту 3-мя антивирусами из-за чего у вас разумеется проблемы. Когда столько стоит в системе, то даже и без логов понятно что будут проблемы. А тем более если там ещё оптимизаторы.

 

Так что удаляйте Symantec Endpoint Protection, Kerish Doctor. А затем строго по правилам раздела.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Filip2p

Filip2p 0

Опубликовано
  • Автор
Опубликовано
9 часов назад, regist сказал:

Так что удаляйте Symantec Endpoint Protection, Kerish Doctor. А затем строго по правилам раздела.

 Автологер запустился, и сам предупредил что бы приостановили защиту антивирусом. Но спасибо, что напомнили. Дело не оптимизаторе или антивирусе. Что-то стороннее запускается через svhost (предположение, когда пытался словить, один раз каспер удалил вирус, а керишь после перезагрузки восстановил удаленный файл svhost 4, название файла может быть не точным). Теперь антивирус переодически находит выше описсаный вирус, лечит его, но он по новой. Где он прячется ума не преложу. 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

@Filip2p можете сами предполагать сколько угодно, но без нас. Либо можете оперативно решить свою проблему, но для этого надо в точности следовать тому что здесь пишут и правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты
Filip2p

Filip2p 0

Опубликовано
  • Автор
Опубликовано
7 часов назад, Sandor сказал:

Удалили?

Saymantech удалил, Kerish отключил. Логи прикрепил. Удалял во время логирования. Сейчас буду ставить логирование на чистую, следуя вашим рекомендациям, я правильно понял что керишь обязательно удалить, просто отключить на время логирования не получится?

 

5 часов назад, regist сказал:

следовать тому что здесь пишут и правилам раздела

Разве мои предположения не были полезны? Если бы специалисты не посмотрели логи farbar. Кто бы сказал что Керишь и саймантек лишние...

CollectionLog-2023.05.04-15.12.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано
13 часов назад, Filip2p сказал:

Saymantech удалил

Следы ещё видны.

Очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса.

 

13 часов назад, Filip2p сказал:

Kerish отключил

Почему не удалили? Удалите, пользы от неё нет.

 

После этих процедур перезагрузите компьютер и соберите новый архив CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Autofix - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /ui (file missing)
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /analyze (file missing)
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Processor - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /submit (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Autofix - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /ui (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /analyze (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Processor - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /submit (file missing)

 

Перезагрузите компьютер.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Ссылка на сообщение
Поделиться на другие сайты
Filip2p

Filip2p 0

Опубликовано
  • Автор
Опубликовано (изменено)

 "Удалите старые и соберите новые логи FRST.txt и Addition.txt"

Не совсем понимаю как это сделать. Сделал, как обычно, автологером, после фикса, все строки присутствовали.

CollectionLog-2023.05.11-20.56.zip

Изменено пользователем Filip2p
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано
14 часов назад, Filip2p сказал:

Не совсем понимаю как это сделать

Вы ведь ранее это уже делали:

03.05.2023 в 10:33, Filip2p сказал:

Просканировал пк Farbar может пригодиться

 

Вот инструкция:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Kerish Doctor 2023 по-прежнему в перечне установленных. Удалите, он бесполезен.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1057206102-1305735596-770578909-1001\...\MountPoints2: {b2892823-2fbf-11eb-a342-3c2c30e33372} - "G:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
Hosts:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1057206102-1305735596-770578909-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически. Выполнение скрипта может занять длительное время (до получаса). Дождитесь окончания.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
    • Dmitriyln
      Не могу открыть сайты с антивирусным ПО
      От Dmitriyln
      Не могу открыть сайты с антивирусным ПО. Провел проверку Dr.Web CureIt!, некоторые вирусы ПО не удалило. Компьютер работает не так быстро, как это было раньше. 
      CollectionLog-2024.04.15-22.11.zip
    • zimex
      Майнер john
      От zimex
      Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.
    • ststst
      ЦП нагружен на 100%, даже в простое.. Помогите решить проблему!
      От ststst
      Проверил через FRST, но не могу понять, что делать дальше.
      FRST.txt Addition.txt
      Использовал разные программы, нашел троян через Dr. Web, но ничего не изменилось.
       
    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
×
×
  • Создать...