[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

[DobryPapa]

А затем запустить проверку?

[thyrex]

Да, предварительно выполнив написанное в последнем абзаце этого сообщения. Но я думаю, что причина проблем найдена верно.

[DobryPapa]

 Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прорваться в Паутину. 

Огромное спасибо всем неравнодушным! Итоги проверки тоже выложу по факту её завершения.

Fixlog.txt

[thyrex]

Вот это крутилось в памяти

https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1

 

Наверняка стоит поменять пароли.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[DobryPapa]

SecurityCheck.txt

[thyrex]

По возможности исправьте указанное

 

Kaspersky v.21.17.7.539 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления

 

и на этом закончим. Про смену паролей не забудьте, клавиатурный шпион входит в функционал того, что подцепили.

[DobryPapa]

Всё обновил кроме Microsoft Edge WebView2 Runtime v.126.0.2592.113, пытался через файл установщик обновиться, но он пишет, что софт уже установлен. Скачал Microsoft.WebView2.FixedVersionRuntime.127.0.2651.86.x64.cab, но вот как с него обновляться так и не понял.

Надеюсь, что это не так существенно, так как Яйцом я пользуюсь только от случая к случаю.

[thyrex]

И еще кое-что сделайте.

 

Папку c:\FRST\Quarantine\ заархивируйте и прикрепите к сообщению.

[DobryPapa]

Quarantine.zip

[thyrex]

А кто работает в учетке TigerClaws, у которой есть тоже права администратора? Причину проблем (причем, заметьте, в общей папке) мы нашли, а вот её источник 26 июля между 12:00 и 13:00 пока нет. И зло может вернуться.

[safety]

Вот еще информация о том как работает AutoHotKey64.exe.

И это все объясняет почему запускается скрипт после запуска exe файла.

 

Цитата

Script Filename: This can be omitted if there are no Script Parameters. If omitted (such as if you run AutoHotkey directly from the Start menu), the program looks for a script file called AutoHotkey.ahk in the following locations, in this order:

    The directory which contains the AutoHotkey executable.
    The current user's Documents folder.

The filename AutoHotkey.ahk depends on the name of the executable used to run the script. For example, if you rename AutoHotkey.exe to MyScript.exe, it will attempt to find MyScript.ahk. If you run AutoHotkeyU32.exe without parameters, it will look for AutoHotkeyU32.ahk.

 

 

[DobryPapa]

Учётка сугубо локальная. Иногда сына приходится пускать работать под ней, когда его системник профилактирую.

А вот информация по работе AutoHotKey64.exe многое объясняет. Программка сама вроде-как безобидная и местами, наверное, даже полезная. Но оказывается, что безобидное на первый и второй взгляды, при более пристальном рассмотрении та ещё штучка...

Изменено 2 августа, 2024 пользователем DobryPapa

[safety]

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

[DobryPapa]

15 часов назад, safety сказал:

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

В точку. Такая вот странненькая софтинка.

[DobryPapa]

Проблема благополучно и безвозвратно решена. Спасибо всем принимавшим участие.🤝