mem:trojan.win32.sepeh.gen

[krovin]

доброго дня. год назад CollectionLog-2023.09.11-14.35.zipскачал архив и только недавно Kaspersky Total Secruity заметил троян. Вроде как лечит, но после перезагрузки он опять работает как svchost.exe сразу как 4-6 службы, нагружая память до 5-7К. логи выше

Изменено 11 сентября, 2023 пользователем krovin

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[krovin]

касперский молчит. отчет фарбар ниже

изменено1: на фото, служба которой (как я предполагаю) и не было, и появились буквы с цифрами. а в диспетчере задач, свхосты запущены как от юзера.

отчеты.zip
 

Изменено 11 сентября, 2023 пользователем krovin

[thyrex]

30 минут назад, krovin сказал:

и появились буквы с цифрами

в этом нет ничего плохого

 

31 минуту назад, krovin сказал:

свхосты запущены как от юзера.

не показатель наличия чего-либо вирусного.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [4dcc5666-9af5-44a9-911f-97978ffb7fa4] => "C:\Users\User\AppData\Local\Temp\{4abe49f5-e3bf-4ea6-9e6c-2cd83d0ab0c0}\4dcc5666-9af5-44a9-911f-97978ffb7fa4.cmd" (Нет файла) <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [684]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [684]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [684]
AlternateDataStreams: C:\Users\User\Downloads\391.35-desktop-win10-64bit-international-whql.exe:MBAM.Zone.Identifier [130]
AlternateDataStreams: C:\Users\User\Downloads\AutoClicker-3.0.exe:MBAM.Zone.Identifier [225]
AlternateDataStreams: C:\Users\User\Downloads\bdcamsetup.exe:MBAM.Zone.Identifier [113]
AlternateDataStreams: C:\Users\User\Downloads\DirectX-Online-setup.exe:MBAM.Zone.Identifier [116]
AlternateDataStreams: C:\Users\User\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [113]
AlternateDataStreams: C:\Users\User\Downloads\GeForce_Experience_v3.27.0.112.exe:MBAM.Zone.Identifier [163]
AlternateDataStreams: C:\Users\User\Downloads\OBS-Studio-29.1.3-Full-Installer-x64.exe:MBAM.Zone.Identifier [157]
AlternateDataStreams: C:\Users\User\Downloads\Radmin_VPN_1.3.4570.5.exe:MBAM.Zone.Identifier [149]
AlternateDataStreams: C:\Users\User\Downloads\RobloxPlayerLauncher.exe:MBAM.Zone.Identifier [133]
AlternateDataStreams: C:\Users\User\Downloads\SetupTSNotifierV1.6.0h.msi:MBAM.Zone.Identifier [120]
AlternateDataStreams: C:\Users\User\Downloads\TLauncher-2.885-Installer-1.1.3.exe:MBAM.Zone.Identifier [149]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x64.exe:MBAM.Zone.Identifier [192]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (1).exe:MBAM.Zone.Identifier [177]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (2).exe:MBAM.Zone.Identifier [177]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (3).exe:MBAM.Zone.Identifier [192]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [684]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [684]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [684]
FirewallRules: [{66C3800E-9012-47CD-BD30-F880073A2352}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{4122AFCE-F36C-488B-8611-1D3175220E49}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  
  

[krovin]

10 минут назад, thyrex сказал:

не показатель наличия чего-либо вирусного

тогда из за чего идет нагрузка на цп/память?

прикрепляю фикслог

 

Fixlog.txt

[thyrex]

Не вижу нигде загрузки

[krovin]

загрузки? какой?

если и загрузки, то в фикс логе? или где, я не понимаю

 

Изменено 11 сентября, 2023 пользователем krovin

[thyrex]

С чего Вы решили, что у Вас есть некая нагрузка на процессор и память?

[krovin]

Открываю диспетчер, сворачиваю на минут 20, занимаюсь своими делами, открываю, и ЦП либо память под сто забито. 
Если мы закончили с удалением, мне следовать как в других темах?

[thyrex]

49 минут назад, krovin сказал:

и ЦП либо память под сто забито. 

скриншот покажите

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[krovin]

SecurityCheck.txt

 

нагрузка с цп оказывается была связана с моим браузером (Опера ГХ), ограничил ему нагрузку.

 

[thyrex]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Total Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9013 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим