Перейти к содержанию
Правила раздела
Викторина по домашним продуктам "Лаборатории Касперского"

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen словил этот троян

bittok23

Автор bittok23,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • bittok23

    17

  • safety

    11

  • Sandor

    4

  • thyrex

    1

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Sandor

Sandor 1 303

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Loaris Trojan Remover 3.1.60 деинсталлируйте как бесполезный.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
C:\Users\Михаил\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
C:\Users\Михаил\AppData\Local\Google\Chrome\User Data\Default\Extensions\hckfocppclohhcjbmaineocbifmlajie
AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3078]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{eb471cd0-0a6e-11ee-9984-d8bbc16ed250}.TM.blf:0E58E8A5A9 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{eb471cd0-0a6e-11ee-9984-d8bbc16ed250}.TMContainer00000000000000000001.regtrans-ms:E1B28E5EFD [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ARIZONA GAMES.lnk:210FAB6407 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks (64-bit).lnk:1AE75F00A0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager (64-bit).lnk:08F24322FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
FirewallRules: [{A0C739B2-84D4-4C81-915C-3C8CFC53EED0}] => (Allow) C:\Program Files\Zona\Zona.exe => Нет файла
FirewallRules: [{8DD198B9-E5C9-482B-834B-2CE212425D33}] => (Allow) C:\Program Files\Zona\Zona.exe => Нет файла
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default\cache2\*.*"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default-release\cache2\*.*"
endbatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Фикс достаточно было один раз выполнить (а не четыре :))

Впрочем, скрипт отработал успешно. Что сейчас с проблемой?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

+ добавьте скриншот с сообщением Касперского о детекте.

 

+ сделайте образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже: 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

Сейчас в системе установлены два антивируса:

Kaspersky и 360 Total Security

360 Total Security деинсталлируйте через установку/удаление программ,

и добавьте новые логи FRST и образ автозапуска в uVS.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
bittok23

bittok23 0

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Сейчас в системе установлены два антивируса:

Kaspersky и 360 Total Security

360 Total Security деинсталлируйте через установку/удаление программ,

и добавьте новые логи FRST и образ автозапуска в uVS.

 

FRST_02-12-2023 16.00.22.txt Addition_02-12-2023 16.00.22.txt DESKTOP-7CDMFE1_2023-12-02_16-34-49_v4.14.1.7z

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • dogmos
      [РЕШЕНО] HEUR:Trojan.Script.Generic
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • Tinore
      HEUR:Trojan.Multi.GenBadur.gena
      От Tinore
      Добрый день! Прошу помощи в удалении HEUR:Trojan.Multi.GenBadur.gena. 
      Антивирус обнаружил вредоносное ПО после перезагрузки. Отправил на лечение, после лечения с перезагрузкой ситуация повторилась и вирус попросту остается.
      В связи с этим, обращаюсь за помощью к Вам. 
      Логи загружаю в соответствии с правилами и ожидаю Вашего ответа
      Спасибо. 
      CollectionLog-2024.11.04-10.27.zip
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Ars13
      Heur:Trojan.Multi.GenBadur.genw
      От Ars13
      Касперский нашел вирус HEUR: Trojan. Multi.GenBadur.genw
      Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять все повторяется.
       
    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
×
×
  • Создать...