Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

DobryPapa

Автор DobryPapa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 60
  • Создана
  • Последний ответ

Топ авторов темы

  • DobryPapa

    30

  • thyrex

    22

  • safety

    9

Топ авторов темы

Популярные посты

safety
safety

Можно обратить внимание  на этот файл в автозапуске C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW есть упоминание

DobryPapa
DobryPapa

Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прор

thyrex
thyrex

Вот это крутилось в памяти https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1   Наверняка стоит поменять пароли.  

thyrex

thyrex

Опубликовано
Опубликовано

Удалите старые логи FRST.txt и Addition.txt, сделайте новые

safety

safety

Опубликовано
Опубликовано (изменено)
16 минут назад, DobryPapa сказал:

https://www.virustotal.com/gui/file/d025c880eb10592541846301a8b8500cfcd00a12b72d15443724e2b26c905f3d

да, файл чистый:

да, этот файл чистый, и он тоже в процессах, посмотрел по образу.

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\APPLAUNCH.EXE

Действительна, подписано Microsoft Corporation

 

тут просто не получится решить проблему, может медленной осадой что-то еще найдем.

 

после логов FRST сделайте еще следующее:

запускаем uVS через start.exe от имени Администратора и текущий пользователь

в главном меню выбираем Дополнительно -- твики.

Нажимаем твик 39 для отслеживания процессов и задач

и твик 41 для отслеживание логов DNS

перегружаем систему,

и после этого в uVS выполняем новую процедуру создания образа автозапуска. Она вам уже известна.

И полученный образ разместить в вашем сообщении.

----------

образ смогу посмотреть только завтра, утром.

 

Изменено пользователем safety
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {42BF6953-5AE1-46D8-9D41-3827C952CA29} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {E6249191-369F-4930-8BFF-584F481065B4} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-4000428766-2096199619-2815948430-1000 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [677448 2024-07-27] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (запись имеет ещё 6 символов).
Task: {6396469F-76AB-485C-88C7-3A9CADA44143} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34376 2024-07-27] (Mozilla Corporation -> Mozilla Foundation)
ContextMenuHandlers4-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers4-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\shellex.dll -> Нет файла
ContextMenuHandlers6-x32: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\shellex.dll -> Нет файла
FirewallRules: [{F1CF46D7-9DB3-4C6F-8B07-14339FBF7916}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
FirewallRules: [{62775FF1-B827-4185-8D67-3F92FC75E2F3}] => (Allow) D:\TorrentClients\AzTorrent\AzTorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

thyrex

thyrex

Опубликовано
Опубликовано

И еще раз сделайте новый лог FRST.txt. Дальше ждем, пока коллега посмотрит логи uVs.

safety

safety

Опубликовано
Опубликовано (изменено)
8 часов назад, DobryPapa сказал:

Хорошо, сейчас этим займусь.

Можно обратить внимание  на этот файл в автозапуске

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW

есть упоминание о нем в контексте запрета запуска объектов

Запрет запуска объектов поддерживает следующие интерпретаторы скриптов:

  • AutoHotkey.exe
  • AutoHotkeyA32.exe
  • AutoHotkeyA64.exe
  • AutoHotkeyU32.exe
  • AutoHotkeyU64.exe

https://support.kaspersky.ru/kes-for-windows/12.5/220826

 

Из истории отслеживания запуска процессов и задач видим, что для "C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe"

родительским процессом является

C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE

 

задача запуска C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE была создана:

26.07.2024 в 12:44:50

 

т.е. возможно через AUTOHOTKEYU64.EXE выполняется какой-либо скрипт ahk, либо исполняемый exe, который был скомпилирован из ahk-скрипта.

https://ahk-wiki.ru/scripts

Изменено пользователем safety
  • Спасибо (+1) 1
DobryPapa

DobryPapa

Опубликовано
  • Автор
Опубликовано

Хм... Действительно, даже не припоминаю такое приложение, а вот дата его появления и дата возникновения проблем наводят меня на мысль, что в этом что-то есть.

 

AutoHotkeyU64.zip

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот. Жаль, но я ни разу не программист и не кодер, чтобы оценить что там именно происходит, но вот в самом конце файла есть строка запуска AppLaunch.exe из папки с Фрэймворком.

thyrex

thyrex

Опубликовано
Опубликовано

Да уж... Я всерьез считал, что этот файл Вам известен.

 

В одно время с этим файлом появилась и папка C:\Users\DobryPapa\AppData\Local\SexHoles.

Файл C:\Users\Public\Screenshot_4.jpg есть на компьютере? Заархивируйте и прикрепите к сообщению.

safety

safety

Опубликовано
Опубликовано (изменено)
2 часа назад, DobryPapa сказал:

Вот файл, который эта программка выполняет. Файлик можно спокойно смотреть через Блокнот

антивирус мой ругнулся на него так:

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
01.08.2024 14:22:57;Фильтр HTTP;файл;хттп://forum.kasperskyclub.ru/applications/core/interface/file/attachment.php?id=244056;Win32/Injector.AutoHK.M троянская программа;подключение завершено;******\safety;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (52F414F90B6EA823DA721231EE005EAD30B9370E).;134C7E291B10E5C2CFB8B39D6C3FBC044A28582B;

 

значит в цель попали. :)

 

детектирование файла:

https://www.virustotal.com/gui/file/1cc8dc7fc95ef60e50d855ffeba7b9102941f1d1f3e83fd922a00cb8dff96916?nocache=1

 

После очистки системы выполните в uVS твики 40 и 42 для отключения отслеживания процессов и задач. Оно свое дело сделало. И надо будет перегрузить систему.

Изменено пользователем safety
thyrex

thyrex

Опубликовано
Опубликовано

Из этой якобы картинки собирается исполняемый файл в итоге.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\Public\AutoHotkeyU64.ahk
Task: {9FD5BD23-A442-4790-8FD3-3D84E6B04F73} - System32\Tasks\Microsoft\Windows\NEW => C:\Users\Public\AutoHotkeyU64.exe [1319936 2024-06-21] (AutoHotkey Foundation LLC) [Файл не подписан]
2024-07-26 12:44 - 2024-07-26 12:44 - 000000000 ____D C:\Users\DobryPapa\AppData\Local\SexHoles
2024-07-26 12:44 - 2024-07-05 00:18 - 000006119 ____R C:\Users\Public\AutoHotkeyU64.ahk
2024-07-26 12:44 - 2024-06-21 20:36 - 001319936 ____R (AutoHotkey Foundation LLC) C:\Users\Public\AutoHotkeyU64.exe
C:\Users\Public\Screenshot_4.jpg
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TonTonchik
      Trojan:PowerShell/Bynoco.RR!ams
      Автор TonTonchik
      Здраствуйте, похожий форму уже был, но проблема не устраняется. Windows не может его удалить

    • Zhivitchenko14
      Долго загружаются иконки в панели задач, параллельно автоматически не подключается к вай-фай (и делает это долго)
      Автор Zhivitchenko14
      Добрый день!
      Долго прогружаются иконки + сбрасывается подключение к вай-фай и подключается к нему долго (думаю, это как следствие основной проблемы)
      Также в журнале событий завершаются службы bits и UsoSvc
      По опыту предыдущего запроса на другом компе я скачал программу и просканировал комп
      Файлы логов во вложении в архиве
      Прошу помочь!
      Логи(05.06.2026).7z
    • Moongaze
      [РЕШЕНО] Еще один Trojan:PowerShell/Bynoco.RR!ams
      Автор Moongaze
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      Windows defender его видимо удаляет, но он появляется заново. Раз в минуту моргает отображение, иногда две штуки показывает сразу, иногда ни одного.

      Возможный дубль 





    • Vladimir752
      [РЕШЕНО] Trojan:PowerShell/Bynoco.RR!ams
      Автор Vladimir752
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      CollectionLog-2026.04.11-13.59.zip 
      SecurityCheck.txt

    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
×
×
  • Создать...