[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen словил этот троян

[safety]

Выполните в uVS скрипт очистки из буфера обмена

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ATUD.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\1F0FB7C2D13CC0C07FF2CA40747BC03E_360TRAY.EXE
delref %SystemDrive%\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNUNINST.EXE
;-------------------------------------------------------------

restart

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Изменено 2 декабря, 2023 пользователем safety

[bittok23]

2 часа назад, safety сказал:

Выполните в uVS скрипт очистки из буфера обмена

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ATUD.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\1F0FB7C2D13CC0C07FF2CA40747BC03E_360TRAY.EXE
delref %SystemDrive%\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNUNINST.EXE
;-------------------------------------------------------------

restart

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

По поводу проблемы не знаю, сразу она не появляется

2023-12-02_19-35-48_log.txt

[bittok23]

Короче опять выскочила

[safety]

Можете журнал обнаруженных угроз экспортировать в файл и добавить этот файл в ваше сообщение?

[bittok23]

а как это сделать

 

 

[safety]

5 minutes ago, bittok23 said:

а как это сделать

Напишите, пожалуйста, какой продукт Касперского у вас установлен: просто антивирус, или Internet Security

AV: Kaspersky (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}

[bittok23]

просто антивирус

[safety]

26 minutes ago, bittok23 said:

просто антивирус

Скриншот с информацией о программе добавьте пожалуйста.

У Вас Kaspersky Free или Kaspersky Antivirus с лицензией?

Или разверните на скриншоте записи с детектированием, чтобы было понятно, что именно находится, какая программа обращалась к задетектированному объекту.

Изменено 3 декабря, 2023 пользователем safety

[bittok23]

Так?

 

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Скрипт ниже:

Start::
CloseProcesses:
SystemRestore: On
C:\Users\8FEE~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [652 2023-12-02] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
S4 QHProtected; "C:\Program Files (x86)\360\Total Security\safemon\WscReg.exe" [X]
S3 360AvFlt; system32\DRIVERS\360AvFlt.sys [X]
R3 360Box64; system32\DRIVERS\360Box64.sys [X]
2023-11-30 19:52 - 2023-03-15 11:02 - 000540416 _____ (360.cn) C:\WINDOWS\system32\Drivers\360FsFlt.sys.456
2023-11-30 19:52 - 2023-03-15 11:02 - 000360664 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Box64.sys.837
2023-11-30 19:52 - 2023-03-15 11:02 - 000238304 _____ (360.cn) C:\WINDOWS\system32\Drivers\BAPIDRV64.SYS.upd
2023-11-30 19:52 - 2023-03-15 11:02 - 000199896 _____ (360.cn) C:\WINDOWS\system32\Drivers\360AntiHacker64.removed
2023-11-30 19:52 - 2023-03-15 11:02 - 000096424 ____N (360.cn) C:\WINDOWS\system32\Drivers\360netmon.sys
2023-11-30 19:52 - 2023-03-15 11:02 - 000058200 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Camera64.removed
2023-11-28 16:34 - 2023-08-25 18:41 - 000008868 _____ C:\WINDOWS\system32\pcwGsurm
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\yadDnohwrolyl
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\NulNylshumwnzjfr
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\grooHtnozlovzdvn
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\calAliwsvvmugcwy
FirewallRules: [{A693B0E0-533F-4473-9F7D-09B37C15FDFC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{7F7AF626-02C7-4CF3-BF96-20C92E133E91}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E5B548C0-86BE-4309-8CC9-7A696AF484DE}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
FirewallRules: [{C7BD67E9-5218-4C83-B5BC-AC3A208F1554}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
EmptyTemp:
Reboot:
End::

После перезагрузки, добавьте лог очистки Fixlog.txt из папки, откуда запускали FRST.

[bittok23]

6 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Скрипт ниже:

Start::
CloseProcesses:
SystemRestore: On
C:\Users\8FEE~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [652 2023-12-02] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
S4 QHProtected; "C:\Program Files (x86)\360\Total Security\safemon\WscReg.exe" [X]
S3 360AvFlt; system32\DRIVERS\360AvFlt.sys [X]
R3 360Box64; system32\DRIVERS\360Box64.sys [X]
2023-11-30 19:52 - 2023-03-15 11:02 - 000540416 _____ (360.cn) C:\WINDOWS\system32\Drivers\360FsFlt.sys.456
2023-11-30 19:52 - 2023-03-15 11:02 - 000360664 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Box64.sys.837
2023-11-30 19:52 - 2023-03-15 11:02 - 000238304 _____ (360.cn) C:\WINDOWS\system32\Drivers\BAPIDRV64.SYS.upd
2023-11-30 19:52 - 2023-03-15 11:02 - 000199896 _____ (360.cn) C:\WINDOWS\system32\Drivers\360AntiHacker64.removed
2023-11-30 19:52 - 2023-03-15 11:02 - 000096424 ____N (360.cn) C:\WINDOWS\system32\Drivers\360netmon.sys
2023-11-30 19:52 - 2023-03-15 11:02 - 000058200 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Camera64.removed
2023-11-28 16:34 - 2023-08-25 18:41 - 000008868 _____ C:\WINDOWS\system32\pcwGsurm
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\yadDnohwrolyl
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\NulNylshumwnzjfr
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\grooHtnozlovzdvn
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\calAliwsvvmugcwy
FirewallRules: [{A693B0E0-533F-4473-9F7D-09B37C15FDFC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{7F7AF626-02C7-4CF3-BF96-20C92E133E91}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E5B548C0-86BE-4309-8CC9-7A696AF484DE}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
FirewallRules: [{C7BD67E9-5218-4C83-B5BC-AC3A208F1554}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
EmptyTemp:
Reboot:
End::

После перезагрузки, добавьте лог очистки Fixlog.txt из папки, откуда запускали FRST.

12 часов назад, safety сказал:

 

 

4 часа назад, safety сказал:

 

 

Fixlog_03-12-2023 15.47.57.txt

[safety]

Не надо цитировать ответ, просто пишите в окне редактора. Здесь все прозрачно.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[bittok23]

SecurityCheck.txt

[safety]

Примите к сведению, и обновите программы из данного списка, если нобходимо.

Quote

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.34 v.2.10.34 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Telegram Desktop v.4.12.2 [+]
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Изменено 5 декабря, 2023 пользователем safety

[bittok23]

а мне просто обновить это и всё? А как это мне поможет вирус убрать