Перейти к содержанию

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen


Рекомендуемые сообщения

 Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прорваться в Паутину. 

Огромное спасибо всем неравнодушным! Итоги проверки тоже выложу по факту её завершения.

Fixlog.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Вот это крутилось в памяти

https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1

 

Наверняка стоит поменять пароли.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

По возможности исправьте указанное

 

Kaspersky v.21.17.7.539 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления

 

и на этом закончим. Про смену паролей не забудьте, клавиатурный шпион входит в функционал того, что подцепили.

Ссылка на комментарий
Поделиться на другие сайты

Всё обновил кроме Microsoft Edge WebView2 Runtime v.126.0.2592.113, пытался через файл установщик обновиться, но он пишет, что софт уже установлен. Скачал Microsoft.WebView2.FixedVersionRuntime.127.0.2651.86.x64.cab, но вот как с него обновляться так и не понял.

Надеюсь, что это не так существенно, так как Яйцом я пользуюсь только от случая к случаю.

Ссылка на комментарий
Поделиться на другие сайты

А кто работает в учетке TigerClaws, у которой есть тоже права администратора? Причину проблем (причем, заметьте, в общей папке) мы нашли, а вот её источник 26 июля между 12:00 и 13:00 пока нет. И зло может вернуться.

Ссылка на комментарий
Поделиться на другие сайты

Вот еще информация о том как работает AutoHotKey64.exe.

И это все объясняет почему запускается скрипт после запуска exe файла.

 

Цитата

Script Filename: This can be omitted if there are no Script Parameters. If omitted (such as if you run AutoHotkey directly from the Start menu), the program looks for a script file called AutoHotkey.ahk in the following locations, in this order:

    The directory which contains the AutoHotkey executable.
    The current user's Documents folder.

The filename AutoHotkey.ahk depends on the name of the executable used to run the script. For example, if you rename AutoHotkey.exe to MyScript.exe, it will attempt to find MyScript.ahk. If you run AutoHotkeyU32.exe without parameters, it will look for AutoHotkeyU32.ahk.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Учётка сугубо локальная. Иногда сына приходится пускать работать под ней, когда его системник профилактирую.

А вот информация по работе AutoHotKey64.exe многое объясняет. Программка сама вроде-как безобидная и местами, наверное, даже полезная. Но оказывается, что безобидное на первый и второй взгляды, при более пристальном рассмотрении та ещё штучка...

Изменено пользователем DobryPapa
Ссылка на комментарий
Поделиться на другие сайты

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

Ссылка на комментарий
Поделиться на другие сайты

15 часов назад, safety сказал:

Здесь видимо такое правило работает:

если AutoHotKey64.exe указан с параметром запуска, то он выполняет скрипта ahk с именем, указанным в параметре.

Если AutoHotKey64.exe запускается без параметра, то он будет искать скрипта ahk с соответствующим себе именем либо в каталоге, откуда запущен AutoHotKey64.exe, либо в Documents текущего пользователя.

В точку. Такая вот странненькая софтинка.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Александр Лаптев
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...