[РЕШЕНО] не удаляется MEM:Trojan.Win32.SEPEH.gen

[Юрий Н.]

Добрый день! Касперский раз за разом пытается удалить MEM: Trojan.Win32.SEPEH.gen, нп предупреждение выскакивает снова и снова

CollectionLog-2024.06.18-11.31.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Wondershare AllMyTube(Build 7.4.9.2)
Кнопки сервисов Яндекса на панели задач

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Юрий Н.]

Да, забыл написать, что Касперский все время ругается на  C:\Program Files (x86)\Windows Mail\wab.exe и пытается его лечить...

Addition.txt FRST.txt

[Sandor]

Загрузите этот файл на https://www.virustotal.com/gui/home/upload и следующим сообщением дайте ссылку на результат анализа.

[Юрий Н.]

https://www.virustotal.com/gui/file/2681f9a925ad65714e456caef9bc7a61d5206449f7514e9cbc510f63b812f1ad

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-586216607-2710288673-3506654409-1000\Environment: [Fastelavnsbollens] powershell.exe <==== ВНИМАНИЕ
  Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FineVoice.lnk [2024-04-24]
  ShortcutTarget: FineVoice.lnk -> C:\Program Files (x86)\FineShare\FineVoice\FineVoiceLaunch.exe (Нет файла)
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  C:\Users\user\AppData\Local\Vivaldi\User Data\Default\Extensions\lpidonfckbhlppihlajjflmcgmkhjhag
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjlhlih [0]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfih [0]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjlhlih [0]
  FirewallRules: [{343B4A69-102E-4C0C-B409-3855FFD49113}] => (Allow) LPort=30305
  FirewallRules: [{E7C2AB14-027E-4C5B-B89E-2A153F020EF1}] => (Allow) LPort=30306
  FirewallRules: [{81689F22-35DA-420E-B935-8A7A12904425}] => (Allow) LPort=30301
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

4 минуты назад, Юрий Н. сказал:

https://www.virustotal.com/gui/file/2681f9a925ad65714e456caef9bc7a61d5206449f7514e9cbc510f63b812f1ad

Детекта нет. Покажите скриншотом как именно отображается срабатывание.

[Юрий Н.]

[Sandor]

Выполняйте скрипт.

[Юрий Н.]

6 минут назад, Sandor сказал:

Выполняйте скрипт.

 

Fixlog.txt

[Sandor]

Цитата

EmptyTemp: => 95.8 GB временные данные Удалены

 

Сделайте ещё раз полную проверку антивирусом и сообщите результат.

[Юрий Н.]

Все, вроде, чисто. Касперский ничего не обнаружил. Спасибо за помощь!

[Sandor]

Хорошо. В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Юрий Н.]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

NVIDIA GeForce Experience 3.28.0.412 v.3.28.0.412 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.38.4985 Внимание! Скачать обновления
Telegram Desktop v.5.1.5 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
Adobe Creative Cloud v.6.2.0.554 Внимание! Скачать обновления
Yandex v.24.4.5.498 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[Юрий Н.]

Все понятно. Спасибо!