[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

[DobryPapa]

https://www.virustotal.com/gui/file/d025c880eb10592541846301a8b8500cfcd00a12b72d15443724e2b26c905f3d

[thyrex]

Удалите старые логи FRST.txt и Addition.txt, сделайте новые

[DobryPapa]

FRST&Addition.zip

[safety]

16 минут назад, DobryPapa сказал:

https://www.virustotal.com/gui/file/d025c880eb10592541846301a8b8500cfcd00a12b72d15443724e2b26c905f3d

да, файл чистый:

да, этот файл чистый, и он тоже в процессах, посмотрел по образу.

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\APPLAUNCH.EXE

Действительна, подписано Microsoft Corporation

 

тут просто не получится решить проблему, может медленной осадой что-то еще найдем.

 

после логов FRST сделайте еще следующее:

запускаем uVS через start.exe от имени Администратора и текущий пользователь

в главном меню выбираем Дополнительно -- твики.

Нажимаем твик 39 для отслеживания процессов и задач

и твик 41 для отслеживание логов DNS

перегружаем систему,

и после этого в uVS выполняем новую процедуру создания образа автозапуска. Она вам уже известна.

И полученный образ разместить в вашем сообщении.

----------

образ смогу посмотреть только завтра, утром.

 

Изменено 31 июля пользователем safety

[DobryPapa]

Хорошо, сейчас этим займусь.

 

PC-RTX_2024-07-31_21-05-06_v4.99.0v x64.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {42BF6953-5AE1-46D8-9D41-3827C952CA29} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {E6249191-369F-4930-8BFF-584F481065B4} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-4000428766-2096199619-2815948430-1000 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {6396469F-76AB-485C-88C7-3A9CADA44143} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34376 2024-07-27] (Mozilla Corporation -> Mozilla Foundation)
ContextMenuHandlers4-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers4-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
FirewallRules: [{F1CF46D7-9DB3-4C6F-8B07-14339FBF7916}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
FirewallRules: [{62775FF1-B827-4185-8D67-3F92FC75E2F3}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[DobryPapa]

Сделал.

Fixlog.txt

[thyrex]

И еще раз сделайте новый лог FRST.txt. Дальше ждем, пока коллега посмотрит логи uVs.

[DobryPapa]

FRST&Addition.zip

[safety]

8 часов назад, DobryPapa сказал:

Хорошо, сейчас этим займусь.

Можно обратить внимание  на этот файл в автозапуске

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW

есть упоминание о нем в контексте запрета запуска объектов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

• AutoHotkey.exe
• AutoHotkeyA32.exe
• AutoHotkeyA64.exe
• AutoHotkeyU32.exe
• AutoHotkeyU64.exe

https://support.kaspersky.ru/kes-for-windows/12.5/220826

 

Из истории отслеживания запуска процессов и задач видим, что для "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"

родительским процессом является

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

 

задача запуска C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE была создана:

26.07.2024 в 12:44:50

 

т.е. возможно через AUTOHOTKEYU64.EXE выполняется какой-либо скрипт ahk, либо исполняемый exe, который был скомпилирован из ahk-скрипта.

https://ahk-wiki.ru/scripts

Изменено 1 августа пользователем safety

[DobryPapa]

Хм... Действительно, даже не припоминаю такое приложение, а вот дата его появления и дата возникновения проблем наводят меня на мысль, что в этом что-то есть.

 

AutoHotkeyU64.zip

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот. Жаль, но я ни разу не программист и не кодер, чтобы оценить что там именно происходит, но вот в самом конце файла есть строка запуска AppLaunch.exe из папки с Фрэймворком.

[thyrex]

Да уж... Я всерьез считал, что этот файл Вам известен.

 

В одно время с этим файлом появилась и папка C:\Users\DobryPapa\AppData\Local\SexHoles.

Файл C:\Users\Public\Screenshot_4.jpg есть на компьютере? Заархивируйте и прикрепите к сообщению.

[safety]

2 часа назад, DobryPapa сказал:

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот

антивирус мой ругнулся на него так:

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
01.08.2024 14:22:57;Фильтр HTTP;файл;хттп://forum.kasperskyclub.ru/applications/core/interface/file/attachment.php?id=244056;Win32/Injector.AutoHK.M троянская программа;подключение завершено;******\safety;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (52F414F90B6EA823DA721231EE005EAD30B9370E).;134C7E291B10E5C2CFB8B39D6C3FBC044A28582B;

 

значит в цель попали.

 

детектирование файла:

https://www.virustotal.com/gui/file/1cc8dc7fc95ef60e50d855ffeba7b9102941f1d1f3e83fd922a00cb8dff96916?nocache=1

 

После очистки системы выполните в uVS твики 40 и 42 для отключения отслеживания процессов и задач. Оно свое дело сделало. И надо будет перегрузить систему.

Изменено 1 августа пользователем safety

[DobryPapa]

Public.zip

Тут файл JPG

[thyrex]

Из этой якобы картинки собирается исполняемый файл в итоге.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\Public\AutoHotkeyU64.ahk
Task: {9FD5BD23-A442-4790-8FD3-3D84E6B04F73} - System32\Tasks\Microsoft\Windows\NEW => C:\Users\Public\AutoHotkeyU64.exe [1319936 2024-06-21] (AutoHotkey Foundation LLC) [Файл не подписан]
2024-07-26 12:44 - 2024-07-26 12:44 - 000000000 ____D C:\Users\DobryPapa\AppData\Local\SexHoles
2024-07-26 12:44 - 2024-07-05 00:18 - 000006119 ____R C:\Users\Public\AutoHotkeyU64.ahk
2024-07-26 12:44 - 2024-06-21 20:36 - 001319936 ____R (AutoHotkey Foundation LLC) C:\Users\Public\AutoHotkeyU64.exe
C:\Users\Public\Screenshot_4.jpg
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.