Перейти к содержанию

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen


Рекомендуемые сообщения

16 минут назад, DobryPapa сказал:

да, файл чистый:

да, этот файл чистый, и он тоже в процессах, посмотрел по образу.

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\APPLAUNCH.EXE

Действительна, подписано Microsoft Corporation

 

тут просто не получится решить проблему, может медленной осадой что-то еще найдем.

 

после логов FRST сделайте еще следующее:

запускаем uVS через start.exe от имени Администратора и текущий пользователь

в главном меню выбираем Дополнительно -- твики.

Нажимаем твик 39 для отслеживания процессов и задач

и твик 41 для отслеживание логов DNS

перегружаем систему,

и после этого в uVS выполняем новую процедуру создания образа автозапуска. Она вам уже известна.

И полученный образ разместить в вашем сообщении.

----------

образ смогу посмотреть только завтра, утром.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Task: {42BF6953-5AE1-46D8-9D41-3827C952CA29} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {E6249191-369F-4930-8BFF-584F481065B4} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-4000428766-2096199619-2815948430-1000 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {6396469F-76AB-485C-88C7-3A9CADA44143} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34376 2024-07-27] (Mozilla Corporation -> Mozilla Foundation)
ContextMenuHandlers4-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers4-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
FirewallRules: [{F1CF46D7-9DB3-4C6F-8B07-14339FBF7916}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
FirewallRules: [{62775FF1-B827-4185-8D67-3F92FC75E2F3}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, DobryPapa сказал:

Хорошо, сейчас этим займусь.

Можно обратить внимание  на этот файл в автозапуске

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW

есть упоминание о нем в контексте запрета запуска объектов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

  • AutoHotkey.exe
  • AutoHotkeyA32.exe
  • AutoHotkeyA64.exe
  • AutoHotkeyU32.exe
  • AutoHotkeyU64.exe

https://support.kaspersky.ru/kes-for-windows/12.5/220826

 

Из истории отслеживания запуска процессов и задач видим, что для "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"

родительским процессом является

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

 

задача запуска C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE была создана:

26.07.2024 в 12:44:50

 

т.е. возможно через AUTOHOTKEYU64.EXE выполняется какой-либо скрипт ahk, либо исполняемый exe, который был скомпилирован из ahk-скрипта.

https://ahk-wiki.ru/scripts

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Хм... Действительно, даже не припоминаю такое приложение, а вот дата его появления и дата возникновения проблем наводят меня на мысль, что в этом что-то есть.

 

AutoHotkeyU64.zip

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот. Жаль, но я ни разу не программист и не кодер, чтобы оценить что там именно происходит, но вот в самом конце файла есть строка запуска AppLaunch.exe из папки с Фрэймворком.

Ссылка на комментарий
Поделиться на другие сайты

Да уж... Я всерьез считал, что этот файл Вам известен.

 

В одно время с этим файлом появилась и папка C:\Users\DobryPapa\AppData\Local\SexHoles.

Файл C:\Users\Public\Screenshot_4.jpg есть на компьютере? Заархивируйте и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, DobryPapa сказал:

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот

антивирус мой ругнулся на него так:

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
01.08.2024 14:22:57;Фильтр HTTP;файл;хттп://forum.kasperskyclub.ru/applications/core/interface/file/attachment.php?id=244056;Win32/Injector.AutoHK.M троянская программа;подключение завершено;******\safety;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (52F414F90B6EA823DA721231EE005EAD30B9370E).;134C7E291B10E5C2CFB8B39D6C3FBC044A28582B;

 

значит в цель попали. :)

 

детектирование файла:

https://www.virustotal.com/gui/file/1cc8dc7fc95ef60e50d855ffeba7b9102941f1d1f3e83fd922a00cb8dff96916?nocache=1

 

После очистки системы выполните в uVS твики 40 и 42 для отключения отслеживания процессов и задач. Оно свое дело сделало. И надо будет перегрузить систему.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Из этой якобы картинки собирается исполняемый файл в итоге.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
File: C:\Users\Public\AutoHotkeyU64.ahk
Task: {9FD5BD23-A442-4790-8FD3-3D84E6B04F73} - System32\Tasks\Microsoft\Windows\NEW => C:\Users\Public\AutoHotkeyU64.exe [1319936 2024-06-21] (AutoHotkey Foundation LLC) [Файл не подписан]
2024-07-26 12:44 - 2024-07-26 12:44 - 000000000 ____D C:\Users\DobryPapa\AppData\Local\SexHoles
2024-07-26 12:44 - 2024-07-05 00:18 - 000006119 ____R C:\Users\Public\AutoHotkeyU64.ahk
2024-07-26 12:44 - 2024-06-21 20:36 - 001319936 ____R (AutoHotkey Foundation LLC) C:\Users\Public\AutoHotkeyU64.exe
C:\Users\Public\Screenshot_4.jpg
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Александр Лаптев
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...