MEM:Trojan.Win32.SEPEH.gen

[mtt]

kvrt обнаружил троян MEM:Trojan.Win32.SEPEH.gen. При попытке лечения чёрный экран.

 

CollectionLog-2023.11.16-19.07.zip

[Sandor]

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[mtt]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ConsoleTesting2016(v.1) — ярлык.lnk [2022-11-06]
  ShortcutTarget: ConsoleTesting2016(v.1) — ярлык.lnk -> C:\Windows\Branding\BenchMarkGSB\ConsoleTesting2016(v.1).exe (Нет файла)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HWiNFO64 — ярлык.lnk [2022-11-06]
  ShortcutTarget: HWiNFO64 — ярлык.lnk -> C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (Нет файла)
  Task: {5AB57EC3-A231-4F10-BF1D-E3A5C8A4398E} - System32\Tasks\$sxr-jHwFrjowLDztNScXPPPT => %$sxr-jHwFrjowLDztNScXPPPT4321%  "javascript:document['wr'+'it'+'e']('<h'+'tm'+'l>'+'<s'+'cr'+'ip'+'t\x20'+'la'+'ng'+'ua'+'ge'+'=\x22'+'VB'+'Sc'+'ri'+'pt'+'\x22>'+'Se'+'t\x20'+'ob'+'jS'+'he'+'ll'+'\x20='+'\x20C'+'re'+'at'+'eO'+'bj'+'ec'+'t('+'\x22W'+'Sc'+'ri'+'pt'+'.S'+'he'+'ll'+'\x22)'+'\x20:'+'\x20o'+'bj'+'Sh'+'el'+'l.'+'Ru'+'n\x (запись имеет ещё 193 символов). (Нет файла)
  S3 ALSysIO; \??\C:\Users\836D~1\AppData\Local\Temp\ALSysIO64.sys [X] <==== ВНИМАНИЕ
  S3 GPU-Z-v2; \??\C:\Users\836D~1\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
  S3 HWiNFO_160; \??\C:\Users\836D~1\AppData\Local\Temp\HWiNFO64A_160.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_173; \??\C:\Users\836D~1\AppData\Local\Temp\HWiNFO64A_173.SYS [X] <==== ВНИМАНИЕ
  Zip: c:\FRST\Quarantine\
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[mtt]

Fixlog.txt

 

Больше не обнаруживает его. Спасибо.

Он меня кошмарил 4 месяца.

[Sandor]

Хорошо. Ещё просьба - упакуйте в архив с паролем всю папку C:\FRST и отправьте по тому же адресу.

[mtt]

Я 19 ноября отправил его. Но забыл написать.

[Sandor]

Да, скачал, спасибо!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[mtt]

SecurityCheck.txt

[Sandor]

По возможности обновите:

Total Commander 64-bit (Remove or Repair) v.10.52 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО