[РЕШЕНО] Удаление вируса MEM:Trojan.Win32.SEPEH.gen

[TTTTT 0]

На компьютере Касперским был обнаружен  MEM: Trojan.Win32.SEPEH.gen.

Несколько раз его удалял, но каждый раз после перезагрузки антивирус находил его снова.

Прекрепляю логи

CollectionLog-2023.10.30-15.06.zip

[Sandor 1 201]

Здравствуйте!

 

В перечне установленных программ видны две версии антивируса:

Цитата

 

Kaspersky Internet Security

Kaspersky Total Security

 

 

Деинсталлируйте обе и пока не устанавливайте.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[TTTTT 0]

Сделал, после удаления касперского и перезагрузки ,видимо включилась защита брандмаузера - вылезали предупреждения...

отчеты FRST.txt и Addition.txt.zip

Изменено 30 октября пользователем TTTTT

[Sandor 1 201]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2264630764-3841926344-2895814409-1001\...\Run: [RunDllMouse] => C:\WINDOWS\SysWOW64\rundll32 /sta {0BFE43EE-5BEB-4FE4-A4F9-834B107AB0FF} (Нет файла)
  HKU\S-1-5-21-2264630764-3841926344-2895814409-1001\...\Run: [Logintech_000001] => C:\WINDOWS\SysWOW64\rundll32.exe /sta {DFDCD4A6-AD21-4255-83CF-A7C137E2BFB8} "Keyboard" (Нет файла)
  AutoConfigURL: [{1A0DBAD1-61C8-492F-8A23-394C4BC25602}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  R2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [17418784 2023-10-29] (EnigmaSoft Limited -> EnigmaSoft Limited)
  R3 EnigmaFileMonDriver; C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys [84032 2023-10-30] (Microsoft Windows Hardware Compatibility Publisher -> EnigmaSoft Limited)
  U3 aswbdisk; отсутствует ImagePath
  U3 avgbdisk; отсутствует ImagePath
  2023-10-29 14:41 - 2023-10-29 17:39 - 000000000 ____D C:\Program Files (x86)\IObit
  2023-10-29 14:41 - 2023-10-29 14:42 - 000000000 ____D C:\Users\igor1\AppData\LocalLow\IObit
  2023-10-29 14:41 - 2023-10-29 14:42 - 000000000 ____D C:\ProgramData\ProductData
  2023-10-29 05:03 - 2023-10-29 05:03 - 000000000 ____D C:\sh5ldr
  2023-10-29 05:03 - 2023-10-29 05:03 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
  2023-10-29 05:03 - 2023-10-29 05:03 - 000000000 ____D C:\Program Files\EnigmaSoft
  AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AS: Norton Security (Enabled - Up to date) {589C5C7B-A77A-1B8E-C99B-B02AE9B836F0}
  FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\Users\igor1\Desktop\anvirrus.exe:MBAM.Zone.Identifier [116]
  AlternateDataStreams: C:\Users\igor1\Desktop\Basket_Stats.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\igor1\Desktop\Basket_Stats.mq4:LineFlags [866]
  AlternateDataStreams: C:\Users\igor1\Desktop\boSugarman Signals_v3.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\igor1\Desktop\boSugarman Signals_v3.mq4:LineFlags [866]
  AlternateDataStreams: C:\Users\igor1\Desktop\Littlechang.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\igor1\Desktop\Littlechang.mq4:LineFlags [866]
  AlternateDataStreams: C:\Users\igor1\Desktop\ST 2 Setka +.mq4:CursorPos [890]
  AlternateDataStreams: C:\Users\igor1\Desktop\ST 2 Setka +.mq4:LineFlags [866]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[TTTTT 0]

Готово

fixlist.txt

[Sandor 1 201]

Будьте внимательны, создавать файл fixlist.txt было не обязательно. Скрипт выполнится из буфера обмена.

Прикрепите итоговый файл Fixlog.txt

[TTTTT 0]

Исправил

Fixlog.txt

[Sandor 1 201]

Вы дважды выполнили скрипт и отчёт перезаписался. Но не страшно.

Теперь установите антивирус, сделайте полную проверку и сообщите результат.

[TTTTT 0]

Касперский опять нашел троян....

[Sandor 1 201]

Сделайте, пожалуйста, следующее:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[TTTTT 0]

Сделал

SecurityCheck.txt

[Sandor 1 201]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

App Explorer

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[TTTTT 0]

Вот

AdwCleaner[S02].txt

[Sandor 1 201]

Предустановленное ПО от Acer не трогайте (не отмечайте галочками). Чем из перечисленного не пользуетесь, деинсталлируйте стандартно.

Остальное чистим:

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

[TTTTT 0]

сделал

AdwCleaner[C03].txt