Перейти к содержанию
Правила раздела

Как удалить MEM:Trojan.Win32.SEPEH.gen

oddfuture44

Автор oddfuture44,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

oddfuture44

oddfuture44 0

Опубликовано
Опубликовано

Здравствуйте! Помогите пожалуйста с удалением трояна. Касперский обнаруживает его, лечит, но при перезапуске снова обнаруживает. Троян загружает ЦП на 100 процентов, программы вылетают из-за недостатка памяти.

CollectionLog-2023.10.09-17.02.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Google\Chrome\update.exe','virustotal.com/gui/file/cf7c9a654f3ce0d9e34ec0e4cbca976b5a02b739ce6afdd0e3d73f87b5abe9f5/detection');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 DeleteFile('C:\Program Files\Google\Chrome\update.exe','64');
 DeleteSchedulerTask('GoogleUpdaterMachin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {423F91D3-6F95-4F0A-9C9A-345477CAB83C} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ
Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ
Task: {7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation -> Нет файла <==== ВНИМАНИЕ
Task: {80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon -> Нет файла <==== ВНИМАНИЕ
Task: {A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {C04FB955-F8CF-4BE5-BD13-F08586B2789E} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ
Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ
Task: {C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance -> Нет файла <==== ВНИМАНИЕ
Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ
Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ
Task: {E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular -> Нет файла <==== ВНИМАНИЕ
Task: {F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> Нет файла <==== ВНИМАНИЕ
AutoConfigURL: [{0C46D17E-D206-43E8-8FDF-892D0C058C87}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-19] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-20] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1002] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1004] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1005] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D3645526-64C8-4AB4-A632-670792FA5690}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{BAC6D9CC-4742-4B4F-87E7-72146591F738}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла
Folder: C:\Users\admsys\AppData\Local\Temp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
oddfuture44

oddfuture44 0

Опубликовано
  • Автор
Опубликовано
17 часов назад, thyrex сказал:

Start:: CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender; HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {423F91D3-6F95-4F0A-9C9A-345477CAB83C} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ Task: {7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation -> Нет файла <==== ВНИМАНИЕ Task: {80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon -> Нет файла <==== ВНИМАНИЕ Task: {A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> Нет файла <==== ВНИМАНИЕ Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ Task: {C04FB955-F8CF-4BE5-BD13-F08586B2789E} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ Task: {C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance -> Нет файла <==== ВНИМАНИЕ Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ Task: {E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular -> Нет файла <==== ВНИМАНИЕ Task: {F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> Нет файла <==== ВНИМАНИЕ AutoConfigURL: [{0C46D17E-D206-43E8-8FDF-892D0C058C87}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-19] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-20] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1002] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1004] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1005] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ FirewallRules: [TCP Query User{D3645526-64C8-4AB4-A632-670792FA5690}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [UDP Query User{BAC6D9CC-4742-4B4F-87E7-72146591F738}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла Folder: C:\Users\admsys\AppData\Local\Temp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv_bkp ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End::

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     
Ссылка на сообщение
Поделиться на другие сайты
oddfuture44

oddfuture44 0

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 



Start::
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте файл https://dropmefiles.com/bORCj, разархивируйте. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Сделайте новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
oddfuture44

oddfuture44 0

Опубликовано
  • Автор
Опубликовано
2 часа назад, thyrex сказал:

Скачайте файл https://dropmefiles.com/bORCj, разархивируйте. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Сделайте новые логи FRST.txt и Addition.txt

 

scan2.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526784 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3404288 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 SnInstComSrv; "C:\Program Files\Secret Net Studio\Client\SnInstSrv.exe" [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
oddfuture44

oddfuture44 0

Опубликовано
  • Автор
Опубликовано
12.10.2023 в 00:25, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526784 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3404288 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 SnInstComSrv; "C:\Program Files\Secret Net Studio\Client\SnInstSrv.exe" [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Виктор Кудрявцев
      Здравствуйте! Очень нужна помощь в удалении MEM:Trojan.Win32.SEPEH.gen, стоит Kaspersky Total Security
      От Виктор Кудрявцев
      При попытке вылечить какой-либо анти-вирусной программой ноутбук крашит Blue Screen (скрины добавил)
      Сначала ошибка, потом синий экран, и перезагрузка. При создании темы не разобрался как прикреплять файлы поэтому загрузил на яндекс диск. Все логи свежие.
       
       


      FRST.txtAddition.txt
      DESKTOP-64C4FV7_2024-03-10_20-11-07_v4.15.1.7z CollectionLog-2024.03.10-19.58.zip
    • Borova
      [РЕШЕНО] Trojan RenderCraft и нагрузка озу fc.exe помогите пожалуйста!
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
    • Михаил12
      Здравствуйте! Антивирус нашел MEM:Trojan.Win32.SEPEH.gen, стоит Kaspersky premium, проверки не помогают, удаляет файлы, после перезагрузки они опять всплывают
      От Михаил12
      CollectionLog-2024.02.16-23.43.zip
    • ALX_
      Вирус MEM:Trojan.Win32.SEPEH.gen
      От ALX_
      Сегодня антивирус обнаружил этот вирус, но после лечения и перезагрузки вирус появляется вновь, подскажите что делать.

      CollectionLog-2024.02.10-19.14.zip
    • ccchikbu
      [РЕШЕНО] скачал себе MEM:Trojan.Win32.SEPEH.gen
      От ccchikbu
      Скачал и распаковал установочный файл и поймал MEM:Trojan.Win32.SEPEH.gen, касперский находит вирус, удаляет его, но после перезагрузки он появляется снова
      но вот именно в данный момент касперский его не обнаружил, но я не знаю долго ли его не будет(
      10.01.2024_22.01.34.zip
×
×
  • Создать...