[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

[DobryPapa]

Добрый день.

Угораздило вляпаться в нечто дурнопахнущее с труднопроизносимым именем MEM:Trojan.win32.SEPEH.gen. Из контрацептивов уже очень давно и успешно используются продукты лаборатории Касперского, в текущий момент KasperskyPremium. И хотя, как я узнал в Паутине, троян этот далеко не первой свежести от 2018г, но вот контрацептив против него не сработал. После своего обнаружения и лечения с перезагрузкой, троян проявлял себя с регулярностью геморроя у профессионального грузчика, а именно после каждой перезагрузки. KVR тоже себя не проявил, тоже брался вылечить с перезагрузкой и так и не справлялся с данным обещанием. 

Помогите пожалуйста вылечиться.

CollectionLog-2024.07.28-16.44.zip KVR report.zip

Изменено 28 июля пользователем DobryPapa

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

[DobryPapa]

Хорошо, но процесс не быстрый. Почти 1.5млн файлов со всех дисков, даже если внешние отцепить и док для HDD. А проверку делать в KasperskyPremium или в KVR?

[thyrex]

Лучше антивирусом

[DobryPapa]

KasperskyPremium - Report 28-29.07.2024.7z

[thyrex]

C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe проверьте на virustotal.com и пришлите ссылку на результат проверки

[DobryPapa]

VirusTotal - Report 29-07-2024.txt

[thyrex]

На будущее: ссылки на проверку не обязательно записывать в файл, чтобы потом прикрепить к сообщению.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[DobryPapa]

FRST&Addition.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4000428766-2096199619-2815948430-1000\...\Run: [GalaxyClient] => [X]
Task: {99F1E084-136F-4EA4-9EAD-1FB5823CCE85} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe  (Нет файла)
S2 AdskNLM; "C:\Program Files (x86)\Common Files\Autodesk Shared\Network License Manager\lmgrd.exe" [X]
ContextMenuHandlers1: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
C:\Users\DobryPapa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013\Средства Office 2013\Активация MS Office.lnk
AlternateDataStreams: C:\ProgramData\TEMP:82F50D1C [187]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[DobryPapa]

Fixlog.txt

[thyrex]

Как давно появился этот детект у Вас?

[DobryPapa]

Вирус проявился 26-27 июля. Точнее сказать не могу.

[thyrex]

Не уверен, что поможет, но все же попробуйте удалить в Хроме расширение Adblock Plus - бесплатный блокировщик рекламы, которое было установлено 20 июля. Либо припомните, после каких действий со скачиванием и установкой чего-либо в эти сроки появилась проблема.

[DobryPapa]

Обновил драйвера NVidia и приложение GeForceExpirience. Из более мелкого - браузеры обновил. Adblock Plus я не 20 числа сего года устанавливал, а практически на 2-3 день, после того как в прошлом году систему переустанавливал. Adblock Plus я всегда ставлю для всех браузеров, если они его поддерживают.