Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

DobryPapa

Автор DobryPapa,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

  • Ответов 60
  • Created
  • Последний ответ

Top Posters In This Topic

  • DobryPapa

    30

  • thyrex

    22

  • safety

    9

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

safety

Можно обратить внимание  на этот файл в автозапуске C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW есть упоминание

DobryPapa

Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прор

thyrex

Вот это крутилось в памяти https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1   Наверняка стоит поменять пароли.  

safety

safety 117

Опубликовано
Опубликовано (изменено)
16 минут назад, DobryPapa сказал:

https://www.virustotal.com/gui/file/d025c880eb10592541846301a8b8500cfcd00a12b72d15443724e2b26c905f3d

да, файл чистый:

да, этот файл чистый, и он тоже в процессах, посмотрел по образу.

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\APPLAUNCH.EXE

Действительна, подписано Microsoft Corporation

 

тут просто не получится решить проблему, может медленной осадой что-то еще найдем.

 

после логов FRST сделайте еще следующее:

запускаем uVS через start.exe от имени Администратора и текущий пользователь

в главном меню выбираем Дополнительно -- твики.

Нажимаем твик 39 для отслеживания процессов и задач

и твик 41 для отслеживание логов DNS

перегружаем систему,

и после этого в uVS выполняем новую процедуру создания образа автозапуска. Она вам уже известна.

И полученный образ разместить в вашем сообщении.

----------

образ смогу посмотреть только завтра, утром.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 409

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {42BF6953-5AE1-46D8-9D41-3827C952CA29} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {E6249191-369F-4930-8BFF-584F481065B4} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-4000428766-2096199619-2815948430-1000 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {6396469F-76AB-485C-88C7-3A9CADA44143} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34376 2024-07-27] (Mozilla Corporation -> Mozilla Foundation)
ContextMenuHandlers4-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers4-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
FirewallRules: [{F1CF46D7-9DB3-4C6F-8B07-14339FBF7916}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
FirewallRules: [{62775FF1-B827-4185-8D67-3F92FC75E2F3}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 409

Опубликовано
Опубликовано

И еще раз сделайте новый лог FRST.txt. Дальше ждем, пока коллега посмотрит логи uVs.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 117

Опубликовано
Опубликовано (изменено)
8 часов назад, DobryPapa сказал:

Хорошо, сейчас этим займусь.

Можно обратить внимание  на этот файл в автозапуске

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW

есть упоминание о нем в контексте запрета запуска объектов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

  • AutoHotkey.exe
  • AutoHotkeyA32.exe
  • AutoHotkeyA64.exe
  • AutoHotkeyU32.exe
  • AutoHotkeyU64.exe

https://support.kaspersky.ru/kes-for-windows/12.5/220826

 

Из истории отслеживания запуска процессов и задач видим, что для "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"

родительским процессом является

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

 

задача запуска C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE была создана:

26.07.2024 в 12:44:50

 

т.е. возможно через AUTOHOTKEYU64.EXE выполняется какой-либо скрипт ahk, либо исполняемый exe, который был скомпилирован из ahk-скрипта.

https://ahk-wiki.ru/scripts

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
DobryPapa

DobryPapa 1

Опубликовано
  • Автор
Опубликовано

Хм... Действительно, даже не припоминаю такое приложение, а вот дата его появления и дата возникновения проблем наводят меня на мысль, что в этом что-то есть.

 

AutoHotkeyU64.zip

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот. Жаль, но я ни разу не программист и не кодер, чтобы оценить что там именно происходит, но вот в самом конце файла есть строка запуска AppLaunch.exe из папки с Фрэймворком.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 409

Опубликовано
Опубликовано

Да уж... Я всерьез считал, что этот файл Вам известен.

 

В одно время с этим файлом появилась и папка C:\Users\DobryPapa\AppData\Local\SexHoles.

Файл C:\Users\Public\Screenshot_4.jpg есть на компьютере? Заархивируйте и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 117

Опубликовано
Опубликовано (изменено)
2 часа назад, DobryPapa сказал:

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот

антивирус мой ругнулся на него так:

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
01.08.2024 14:22:57;Фильтр HTTP;файл;хттп://forum.kasperskyclub.ru/applications/core/interface/file/attachment.php?id=244056;Win32/Injector.AutoHK.M троянская программа;подключение завершено;******\safety;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (52F414F90B6EA823DA721231EE005EAD30B9370E).;134C7E291B10E5C2CFB8B39D6C3FBC044A28582B;

 

значит в цель попали. :)

 

детектирование файла:

https://www.virustotal.com/gui/file/1cc8dc7fc95ef60e50d855ffeba7b9102941f1d1f3e83fd922a00cb8dff96916?nocache=1

 

После очистки системы выполните в uVS твики 40 и 42 для отключения отслеживания процессов и задач. Оно свое дело сделало. И надо будет перегрузить систему.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 409

Опубликовано
Опубликовано

Из этой якобы картинки собирается исполняемый файл в итоге.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\Public\AutoHotkeyU64.ahk
Task: {9FD5BD23-A442-4790-8FD3-3D84E6B04F73} - System32\Tasks\Microsoft\Windows\NEW => C:\Users\Public\AutoHotkeyU64.exe [1319936 2024-06-21] (AutoHotkey Foundation LLC) [Файл не подписан]
2024-07-26 12:44 - 2024-07-26 12:44 - 000000000 ____D C:\Users\DobryPapa\AppData\Local\SexHoles
2024-07-26 12:44 - 2024-07-05 00:18 - 000006119 ____R C:\Users\Public\AutoHotkeyU64.ahk
2024-07-26 12:44 - 2024-06-21 20:36 - 001319936 ____R (AutoHotkey Foundation LLC) C:\Users\Public\AutoHotkeyU64.exe
C:\Users\Public\Screenshot_4.jpg
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • parnishka
      UDS Trojan Shelm
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
    • ArCtic
      Последствия вируса
      От ArCtic
      Здравствуйте! Помогите, пожалуйста, избавиться от  последствий вируса, который не давал запустить любую утилиту антивируса. Сам вирус уже удален, но папки от него остались. Открыть и удалить их не выходит.

      CollectionLog-2024.08.25-09.23.zip
    • T23
      Trojan:Win32/Wacatac.H!ml
      От T23
      Пж помогите решить проблему.

    • Пантелеймон
      Поймал вирус
      От Пантелеймон
      Добрый день! 
      Подхватил вирус удаленного доступа 
      Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
      Переустановка Винды не помогла 
      Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
      Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
      Хотелось бы изгнать этого нарушителя, с вашей помощью
      CollectionLog-2024.08.16-11.23.zip
×
×
  • Создать...