mem.trojan.win32.sepeh.gen

[pla3z]

не могу удалить этот проклятый троян, помогите

отчет.zip

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Нужный архив прикрепите к следующему сообщению в этой же теме.

[pla3z]

CollectionLog-2023.11.08-21.01.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe','');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe','64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[pla3z]

Не могу его отправить ни на сайте, ни на почте. Почта пишет что файл содержит вирус и не отправляет, пробывал и через mail и gmail

20 часов назад, thyrex сказал:

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Попробовал снова, сработало 

 

CollectionLog-2023.11.08-22.24.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O1 - Hosts: 0.0.0.0 www.virustotal.com
O4 - HKCU\..\StartupApproved\Run: [RiotClient] = D:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (file missing) (2023/10/21)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\WINDOWS\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\WINDOWS\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks: GoogleUpdateTaskMachineQC - C:\Program Files\Google\Chrome\updater.exe (invalid sign)
O22 - Tasks_Migrated: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\sedlauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Shell\FamilySafetyRefresh - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},$(Arg0) - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WS\WSTask - {E52C9A25-F3E8-49E4-BAA7-FAD0EF620129},$(Arg0);$(Arg1) - (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[pla3z]

4 часа назад, thyrex сказал:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O1 - Hosts: 0.0.0.0 www.virustotal.com
O4 - HKCU\..\StartupApproved\Run: [RiotClient] = D:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (file missing) (2023/10/21)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\WINDOWS\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\WINDOWS\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks: GoogleUpdateTaskMachineQC - C:\Program Files\Google\Chrome\updater.exe (invalid sign)
O22 - Tasks_Migrated: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\rempl\shell - C:\Program Files\rempl\sedlauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Shell\FamilySafetyRefresh - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},$(Arg0) - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WS\WSTask - {E52C9A25-F3E8-49E4-BAA7-FAD0EF620129},$(Arg0);$(Arg1) - (no file)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

отчет1.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
CreateRestorePoint:
Task: {D1538DFE-6CF6-47B7-99A6-E7C0E4F2CDB8} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5635360 2023-11-08] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Cloudflare WARP.lnk [2023-09-16]
ShortcutTarget: Cloudflare WARP.lnk -> C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe (Нет файла)
File: C:\Users\playez\AppData\Roaming\CustomRP\CustomRP.exe
Virustotal: C:\Users\playez\AppData\Roaming\CustomRP\CustomRP.exe
C:\Program Files\Google\Chrome\updater.exe
S2 CloudflareWARP; "C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe" [X]
R4 WinRing0_1_2_0; C:\WINDOWS\TEMP\fqapwmxovmxs.sys [14544 2023-11-08] (Noriyuki MIYAZAKI -> OpenLibSys.org)
C:\WINDOWS\TEMP\fqapwmxovmxs.sys
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2023.lnk:FB95DB72C9 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Octothorp Launcher.lnk:505282A807 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\Users\playez\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\playez\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{B629410F-664F-467E-B6E2-0988092099B1}D:\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
FirewallRules: [UDP Query User{CC8173CE-262B-4CBD-A7FA-CD957F130480}D:\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
FirewallRules: [{E9C568D0-9BDF-44A5-A14D-2D73038AD267}] => (Allow) C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe => Нет файла
FirewallRules: [TCP Query User{2C8D2C8F-86F7-44F5-BA88-EE4A74DFF1FA}D:\steam\steamapps\common\rising storm 2\binaries\win64\vngame.exe] => (Allow) D:\steam\steamapps\common\rising storm 2\binaries\win64\vngame.exe => Нет файла
FirewallRules: [UDP Query User{3292F1B3-4946-478A-BAE4-0D3DD87CD7C2}D:\steam\steamapps\common\rising storm 2\binaries\win64\vngame.exe] => (Allow) D:\steam\steamapps\common\rising storm 2\binaries\win64\vngame.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[pla3z]

Fixlog.txt

[thyrex]

Сделайте для контроля новый лог FRST.txt

[pla3z]

 

 

FRST.txt

Изменено 9 ноября, 2023 пользователем pla3z

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

[pla3z]

2 часа назад, thyrex сказал:

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

Отлично, антивирус не обнаружил вируса. Спасибо вам большое, если снова вылезет, я создам тему.

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.