[РЕШЕНО] Помогите удалить вирус MEM:Trojan.Win32.SEPEH.gen, MultiAgent

[Roman1111]

У Касперского не получается его удалить, постоянно вылетает уведолмение об удалении обьекта , но ничего не удаляется и не устраняется 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Roman1111]

CollectionLog-2024.09.16-15.21.zip

 

 

7 часов назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Готово

 

[Sandor]

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Roman1111]

Addition.txt FRST.txt

7 минут назад, Sandor сказал:

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Готово

 

[Sandor]

Пожалуйста, не цитируйте полностью предыдущий ответ, я итак подписан на эту тему

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4285386160-4098860368-472674003-1002\...\MountPoints2: {fb5ad0ab-654f-11ef-acd6-00a5543eb07e} - "D:\setup.EXE" /AUTORUN
  Task: {721811A2-9B16-4FA5-8B41-7AFC6537A15C} - System32\Tasks\{0D3197A5-F501-4FEE-848A-812DD9BF088F} => C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exe  -> /exenoupdates /forcecleanup /wintime 1724166704  AI_SETUPEXEPATH="C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exe" SETUPEXEDIR="C:\Users\romal_r1p81rj\Downloads\" ADDLOCAL=Norwegian,SDK,AdministrationConsole,DevExpress,PrintStation,PortugueseBrazil,IntegrationBuilder,Thai,Polish,S (запись имеет ещё 1397 символов).
  Task: C:\Windows\Tasks\{0D3197A5-F501-4FEE-848A-812DD9BF088F}.job => C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exeڢ/exenoupdates  /forcecleanup  /wintime 1724166704    AI_SETUPEXEPATH C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exe SETUPEXEDIR=C:\Users\romal_r1p81rj\Downloads\ ADDLOCAL=Norwegian,SDK,AdministrationConsole,DevExpress,PrintStation,PortugueseBrazil,IntegrationBuilder,Thai,Polish,Spanish,Dutch,HistoryExplorer,Italian,ChineseTraditional,French,LicensingService,Finnish,Japanese,DataBuilder,BarTender,Portuguese,Swedish,Korean,ChineseSimplified,Russian,Common,ProcessBuilder,Turkish,BT_x64,Languages,German,BtSystem,Librarian,SystemDatabase,LeadTools,PrinterMaestro,Codejock_x64,Samples,Czech,Danish,ReprintConsole,SQLServerLocalDB2014_SP3_x64,VCRuntime_2015_2019_v1423_x64,MainFeature,GACFiles,Greek,Hungarian REMOVE=BPP,PrintRouter ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE=C:\ TRANSFORMS=:1049 AI_PREREQFILES=\\?\C:\Users\romal_r1p81rj\AppData\Roaming\Seagull\BarTender\prerequisites\SQL Server LocalDB 2014 SP3\SqlLocalDB_x64.msi AI_PREREQDIRS=C:\Users\romal_r1p81rj\AppData\Roaming AI_MISSING_PREREQS=SQL Server Express LocalDB 2014 SP3 x64 AI_FOUND_PREREQS=Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.23.27820 AI_DETECTED_DOTNET_VERSION=4.8 AI_DETECTED_INTERNET_CONNECTION=1 AI_SETUPEXEPATH=C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exe WWWROOT=C:\inetpub\wwwroot\ TARGETDIR=C:\Program Files\Seagull\BarTender 2022\ APPDIR=C:\Program Files\Seagull\BarTender 2022\ AI_SETUPEXEPATH_ORIGINAL=C:\Users\romal_r1p81rj\Downloads\BT2022_R8_216048_Full_x64.exe
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
  FirewallRules: [{C5853C36-5B20-4C2F-9D52-3CDF2B26DBC6}] => (Allow) LPort=5130
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Roman1111]

А то что скопировал нужно вставлять куда то ? 

[Sandor]

Нет, скрипт будет выполнен из буфера обмена.

[Sandor]

После перезагрузки скачайте этот архив, извлеките из него пять файлов и запустите каждый последовательно, соглашаясь с внесением изменений в реестр.

Ещё раз перезагрузите компьютер и сделайте следующее:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Изменено 16 сентября пользователем Sandor

[Roman1111]

Fixlog.txt

 

FSS.txt

[Sandor]

Хорошо. Сделайте проверку антивирусом ещё раз и сообщите результат.

[Roman1111]

Пишет угроз нет, только в истории остались угрозы с кнопкой исправить 

[Sandor]

Если не ошибаюсь, должна быть возможность очистить историю.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Roman1111]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

AMD Software v.24.7.1 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7462.6 Данная программа больше не поддерживается разработчиком.
WinRAR 6.22 (64-bit) v.6.22.0 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Очистить историю обнаружений в антивирусе получилось?