[РЕШЕНО] Не удаляются вирусы Trojan.Win32.Miner.pef и Trojan.Win32.SEPEH.gen

[segeyAA]

Здравствуйте.

 

KES постоянно ругается на

Цитата

Описание результата: Удалено Тип: Троянская программа Название: PDM:Trojan.Win32.Generic Пользователь: user (Активный пользователь) Объект: C:\ProgramData\txcxjqisprgo\rvoehsbrqajc.exe

и

Цитата

Описание результата: Запрещено Тип: Троянская программа Название: MEM:Trojan.Win32.SEPEH.gen Пользователь: user (Активный пользователь) Объект: System Memory Причина: Опасное действие

"Проверка важных областей" бесконечно висит на 1% и 0 файлов.

В безопасном режиме прогнал KVRT и CureIT. Они удалили winserv.exe, rdpwrap.dll, appmodule.exe, amd.exe и при повторном сканировании больше ничего подозрительного не видят. При перезагрузке в обычном режиме ничего не изменилось. Данные вирусы также знатно покорежили систему - перестал работать центр обновления (заметил что имена служб bits и wuauserv изменены на bits_bkp и wuauserv_bkp), удаленный рабочий стол, восстановление системы (это из того что заметил). Лог сканирования AutoLogger-а прилагаю.

 

CollectionLog-2024.04.24-13.37.zip

[Sandor]

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Запускать пробуйте в нормальном режиме. Если не получится, запускайте в безопасном с поддержкой сети.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже в нормальном режиме.
 

[segeyAA]

31 минуту назад, Sandor сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже в нормальном режиме.

Прилагаю файлы.

CollectionLog-2024.04.24-19.47.zip AV_block_remove_2024.04.24-19.34.log

[Sandor]

Хорошо, логи выглядят значительно лучше.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[segeyAA]

13 минут назад, Sandor сказал:

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Прилагаю файлы.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2943392596-3218688220-1087895957-1001\...\Run: [MediaGet2] => C:\Users\user\MediaGet2\mediaget.exe --minimized (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-2943392596-3218688220-1087895957-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  S3 dosvc; C:\WINDOWS\System32\svchost.exe [55456 2024-02-26] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2024-02-26] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534464 2024-04-10] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc; C:\WINDOWS\system32\svchost.exe [55456 2024-02-26] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2024-02-26] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-04-10] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-02-26] (Microsoft Windows -> Microsoft Corporation)
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [246]
  AlternateDataStreams: C:\ProgramData\TEMP:A5C00DEE [544]
  FirewallRules: [{10299F39-674E-40A4-BC88-5376B1AAC99B}] => (Allow) LPort=50248
  FirewallRules: [{310DF6AF-FDC6-406F-9AC6-39A3C7EC914D}] => (Allow) C:\Users\user\Desktop\Аня\Claires Cruisin Cafe Collectors Edition\ClairesCruisinCafe_CE.exe => Нет файла
  FirewallRules: [{04A86C90-668F-4193-BCDB-2385A9A083E7}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{78DFAF10-618B-450A-8D2C-4B3E1FC883E6}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив. Извлеките из него три reg-файла и последовательно запустите каждый. Подтвердите внесение изменений в реестр.

Перезагрузите компьютер и дополнительно соберите такой отчёт:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[segeyAA]

27 минут назад, Sandor сказал:

• Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.Прикрепите этот файл к своему ответу.

Прилагаю файлы.

FSS.txt Fixlog.txt

[Sandor]

Запуск dosvc.reg прошел успешно, без ошибок?

[segeyAA]

11 минут назад, Sandor сказал:

Запуск dosvc.reg прошел успешно, без ошибок?

Без ошибок.

[Sandor]

Ладно. Сделайте проверку KES и сообщите результат.

[segeyAA]

13 минут назад, Sandor сказал:

Ладно. Сделайте проверку KES и сообщите результат.

Проверка важных областей прошла без ошибок - сейчас идёт полная проверка. Вроде бы все, на что жаловался в первом сообщении, заработало - спасибо!

Есть еще один комп в той же сети, который затронули эти вирусы - попробую завтра вылечить по аналогии.

 

Полная проверка тоже успешно прошла, вирусов не обнаружено.

Изменено 24 апреля пользователем segeyAA

[Sandor]

17 минут назад, segeyAA сказал:

попробую завтра вылечить по аналогии

Нет, "по аналогии" не нужно. Создайте для него отдельную тему и прикрепите собранный там CollectionLog.

 

Здесь в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[segeyAA]

8 часов назад, Sandor сказал:

Нет, "по аналогии" не нужно. Создайте для него отдельную тему и прикрепите собранный там CollectionLog.

...

Здесь в завершение:

Я в-целом понимаю что делает каждая утилита и какие службы исправили те 3 reg-файла. Пока не понимаю только как из логов получить скрипт исправления для FRST64.

...

1. Сделал

2. Файл прилагаю.

 

SecurityCheck.txt

Изменено 24 апреля пользователем segeyAA

[Sandor]

Исправьте по возможности:

 

Kaspersky Endpoint Security for Windows v.11.16.6.467 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
Zoom v.5.8.1 (1435) Внимание! Скачать обновления
Google Chrome v.124.0.6367.78 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Yandex v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".