Перейти к содержанию
Правила раздела

Как удалить MEM:Trojan.Win32.SEPEH.gen

oddfuture44

От oddfuture44
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

oddfuture44 Новичок

oddfuture44

Опубликовано
Опубликовано

Здравствуйте! Помогите пожалуйста с удалением трояна. Касперский обнаруживает его, лечит, но при перезапуске снова обнаруживает. Троян загружает ЦП на 100 процентов, программы вылетают из-за недостатка памяти.

CollectionLog-2023.10.09-17.02.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Google\Chrome\update.exe','virustotal.com/gui/file/cf7c9a654f3ce0d9e34ec0e4cbca976b5a02b739ce6afdd0e3d73f87b5abe9f5/detection');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','GlobalUserDisabled','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','ShellFeedsTaskbarViewMode','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','HttpAcceptLanguageOptOut','x64');
 DeleteFile('C:\Program Files\Google\Chrome\update.exe','64');
 DeleteSchedulerTask('GoogleUpdaterMachin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {423F91D3-6F95-4F0A-9C9A-345477CAB83C} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ
Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ
Task: {7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation -> Нет файла <==== ВНИМАНИЕ
Task: {80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon -> Нет файла <==== ВНИМАНИЕ
Task: {A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {C04FB955-F8CF-4BE5-BD13-F08586B2789E} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ
Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ
Task: {C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance -> Нет файла <==== ВНИМАНИЕ
Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ
Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ
Task: {E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular -> Нет файла <==== ВНИМАНИЕ
Task: {F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> Нет файла <==== ВНИМАНИЕ
AutoConfigURL: [{0C46D17E-D206-43E8-8FDF-892D0C058C87}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-19] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-20] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1002] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1004] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1005] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3052106900-405707022-2260378823-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D3645526-64C8-4AB4-A632-670792FA5690}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{BAC6D9CC-4742-4B4F-87E7-72146591F738}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла
Folder: C:\Users\admsys\AppData\Local\Temp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
oddfuture44 Новичок

oddfuture44

Опубликовано
  • Автор
Опубликовано
17 часов назад, thyrex сказал:

Start:: CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender; HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {423F91D3-6F95-4F0A-9C9A-345477CAB83C} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ Task: {7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation -> Нет файла <==== ВНИМАНИЕ Task: {80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon -> Нет файла <==== ВНИМАНИЕ Task: {A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources -> Нет файла <==== ВНИМАНИЕ Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ Task: {C04FB955-F8CF-4BE5-BD13-F08586B2789E} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ Task: {C483CE25-B1C5-4BEB-AA31-5CADC8C66692} - \Microsoft\Windows\Shell\IndexerAutomaticMaintenance -> Нет файла <==== ВНИМАНИЕ Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ Task: {E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular -> Нет файла <==== ВНИМАНИЕ Task: {F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup -> Нет файла <==== ВНИМАНИЕ AutoConfigURL: [{0C46D17E-D206-43E8-8FDF-892D0C058C87}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-19] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-20] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1002] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1004] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ AutoConfigURL: [S-1-5-21-3052106900-405707022-2260378823-1005] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3052106900-405707022-2260378823-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ FirewallRules: [TCP Query User{D3645526-64C8-4AB4-A632-670792FA5690}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла FirewallRules: [UDP Query User{BAC6D9CC-4742-4B4F-87E7-72146591F738}E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe] => (Allow) E:\usbdrive\drivers\sdi_rus\sdi_x64_r2000.exe => Нет файла Folder: C:\Users\admsys\AppData\Local\Temp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\BITS_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\dosvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv ExportKey: HKLM\SOFTWARE\SYSTEM\CurrentControlSet\Services\wuauserv_bkp ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End::

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     
Ссылка на комментарий
Поделиться на другие сайты
oddfuture44 Новичок

oddfuture44

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 



Start::
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\BITS_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\dosvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc_bkp
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv_bkp
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте файл https://dropmefiles.com/bORCj, разархивируйте. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Сделайте новые логи FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
oddfuture44 Новичок

oddfuture44

Опубликовано
  • Автор
Опубликовано
2 часа назад, thyrex сказал:

Скачайте файл https://dropmefiles.com/bORCj, разархивируйте. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Сделайте новые логи FRST.txt и Addition.txt

 

scan2.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526784 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3404288 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 SnInstComSrv; "C:\Program Files\Secret Net Studio\Client\SnInstSrv.exe" [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
oddfuture44 Новичок

oddfuture44

Опубликовано
  • Автор
Опубликовано
12.10.2023 в 00:25, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526784 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3404288 2023-02-07] (Microsoft Windows -> Microsoft Corporation)
S3 SnInstComSrv; "C:\Program Files\Secret Net Studio\Client\SnInstSrv.exe" [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Frol3310
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Depos1t
      Kaspersky обнаружил MEM:Trojan.Win32.SEPEH.gen
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • Lagbeast
      [РЕШЕНО] не удаляется MEM:Trojan.Win32.SEPEH.gen
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
×
×
  • Создать...