Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

DobryPapa

Автор DobryPapa,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

  • Ответов 60
  • Created
  • Последний ответ

Top Posters In This Topic

  • DobryPapa

    30

  • thyrex

    22

  • safety

    9

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

safety

Можно обратить внимание  на этот файл в автозапуске C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW есть упоминание

DobryPapa

Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прор

thyrex

Вот это крутилось в памяти https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1   Наверняка стоит поменять пароли.  

thyrex

thyrex 1 418

Опубликовано
Опубликовано

Да, предварительно выполнив написанное в последнем абзаце этого сообщения. Но я думаю, что причина проблем найдена верно.

Ссылка на сообщение
Поделиться на другие сайты
DobryPapa

DobryPapa 1

Опубликовано
  • Автор
Опубликовано

 Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прорваться в Паутину. 

Огромное спасибо всем неравнодушным! Итоги проверки тоже выложу по факту её завершения.

Fixlog.txt

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

Вот это крутилось в памяти

https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1

 

Наверняка стоит поменять пароли.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

По возможности исправьте указанное

 

Kaspersky v.21.17.7.539 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления

 

и на этом закончим. Про смену паролей не забудьте, клавиатурный шпион входит в функционал того, что подцепили.

Ссылка на сообщение
Поделиться на другие сайты
DobryPapa

DobryPapa 1

Опубликовано
  • Автор
Опубликовано

Всё обновил кроме Microsoft Edge WebView2 Runtime v.126.0.2592.113, пытался через файл установщик обновиться, но он пишет, что софт уже установлен. Скачал Microsoft.WebView2.FixedVersionRuntime.127.0.2651.86.x64.cab, но вот как с него обновляться так и не понял.

Надеюсь, что это не так существенно, так как Яйцом я пользуюсь только от случая к случаю.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

А кто работает в учетке TigerClaws, у которой есть тоже права администратора? Причину проблем (причем, заметьте, в общей папке) мы нашли, а вот её источник 26 июля между 12:00 и 13:00 пока нет. И зло может вернуться.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Вот еще информация о том как работает AutoHotKey64.exe.

И это все объясняет почему запускается скрипт после запуска exe файла.

 

Цитата

Script Filename: This can be omitted if there are no Script Parameters. If omitted (such as if you run AutoHotkey directly from the Start menu), the program looks for a script file called AutoHotkey.ahk in the following locations, in this order:

    The directory which contains the AutoHotkey executable.
    The current user's Documents folder.

The filename AutoHotkey.ahk depends on the name of the executable used to run the script. For example, if you rename AutoHotkey.exe to MyScript.exe, it will attempt to find MyScript.ahk. If you run AutoHotkeyU32.exe without parameters, it will look for AutoHotkeyU32.ahk.

 

 

Ссылка на сообщение
Поделиться на другие сайты
DobryPapa

DobryPapa 1

Опубликовано
  • Автор
Опубликовано (изменено)

Учётка сугубо локальная. Иногда сына приходится пускать работать под ней, когда его системник профилактирую.

А вот информация по работе AutoHotKey64.exe многое объясняет. Программка сама вроде-как безобидная и местами, наверное, даже полезная. Но оказывается, что безобидное на первый и второй взгляды, при более пристальном рассмотрении та ещё штучка...

Изменено пользователем DobryPapa
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

Ссылка на сообщение
Поделиться на другие сайты
DobryPapa

DobryPapa 1

Опубликовано
  • Автор
Опубликовано
15 часов назад, safety сказал:

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

В точку. Такая вот странненькая софтинка.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • MaximLem
      Вирусы, которые обнаружил Windows Defender
      От MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • ДанилКО
      Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • dogmos
      [РЕШЕНО] HEUR:Trojan.Script.Generic
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • Tinore
      HEUR:Trojan.Multi.GenBadur.gena
      От Tinore
      Добрый день! Прошу помощи в удалении HEUR:Trojan.Multi.GenBadur.gena. 
      Антивирус обнаружил вредоносное ПО после перезагрузки. Отправил на лечение, после лечения с перезагрузкой ситуация повторилась и вирус попросту остается.
      В связи с этим, обращаюсь за помощью к Вам. 
      Логи загружаю в соответствии с правилами и ожидаю Вашего ответа
      Спасибо. 
      CollectionLog-2024.11.04-10.27.zip
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
×
×
  • Создать...