MEM: Trojan.Win32.SEPEH.gen возвращается после лечения

[October Supremacy]

Здравствуйте! 

Дней 6 подряд появляется предупреждение о MEM: Trojan.Win32.SEPEH.gen в System Memory, запускается лечение, но через какое-то время после перезагрузки он появляется снова. 

Также сразу после завершения лечения и перед перезагрузкой начинают сыпаться ошибки. Например, у chrome.exe и NVIDIA Web Helper.exe это Bad Image (Состояние ошибки Охс0000022), но была и Ошибка приложения (msedge.exe).  

Из нового до появления трояна была установка обновлений на винду и обновление Wallpaper Engine (сейчас программа уже остановлена).
 

CollectionLog-2024.09.25-18.59.zip

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку антивирусом и сообщите результат.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[October Supremacy]

Отчёты почищены, полная проверка не показала никаких угроз. 

 

 

FRST & Addition.zip

[October Supremacy]

Дополню: угроз при проверке не показывало и раньше, троян проявляется сам спустя какое-то время, и антивирус сразу начинает его лечить. 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2107360186-3781367418-878091816-1001\...\MountPoints2: {69ba4394-3c8c-11e7-99cc-806e6f6e6963} - "E:\Autorun.exe" 
Task: {335DB2C7-8107-43E3-934A-B27F92B74387} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {B80AD61D-490F-43C0-871A-D26ADDDFC9AD} - System32\Tasks\Opera scheduled Autoupdate 1546289798 => C:\Users\пк\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {15ABD666-CFBA-4CAD-A5FE-775E58DBC937} - System32\Tasks\WpsExternal_20161109044301 => C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe  /wpscloudlaunch /wpsexternal /from=task (Нет файла)
Task: {AEBF8BFC-10AB-4254-960F-4F73DF662E1A} - System32\Tasks\WpsKtpcntrQingTask_Administrator => C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5644\office6\ktpcntr.exe  -> qing 10.1.0.5644 xxx server_url="hxxp://kdl1.cache.wps.com/ksodl/wpscfg/client/____client____html____service____bubble.html" ic_server_url="hxxp://info.kingsoftstore.com/wpsv6internet/infos.ads"
Task: C:\WINDOWS\Tasks\WpsExternal_20161109044301.job => C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe
Task: C:\WINDOWS\Tasks\WpsKtpcntrQingTask_Administrator.job => C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5644\office6\ktpcntr.exeÃqing 10.1.0.5644 xxx server_url=hxxp:/kdl1.cache.wps.com/ksodl/wpscfg/client/____client____html____service____bubble.html ic_server_url=hxxp:/info.kingsoftstore.com/wpsv6internet/infos.ads
S2 Kingsoft_WPS_UpdateService; C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5644\wtoolex\wpsupdatesvr.exe [X]
S3 wpscloudsvr; "C:\Program Files (x86)\Kingsoft\WPS Office\wpscloudsvr.exe" LocalService [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Появление детекта может быть связано с каким-либо из установленных в последнее время расширений для браузера.

[October Supremacy]

Новых расширений не было, но было одно, поддержка которого скоро закончится. Теперь удалено. 

Fixlog.txt

[October Supremacy]

Подскажите, что-то делать дальше? 

[safety]

2 часа назад, October Supremacy сказал:

Подскажите, что-то делать дальше? 

добавьте отчеты обнаружения угроз и сканирования из антивируса Касперского

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[October Supremacy]

Последние подобные сообщения только за 30.09. VK DJ всплыл неожиданно, поэтому тоже был удалён.

 

02.10.2024 в 01:15, safety сказал:

добавьте отчеты обнаружения угроз и сканирования из антивируса Касперского

 

Отчёт.txt

 

02.10.2024 в 03:17, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Прикрепите этот файл в своем следующем сообщении.

 

 

SecurityCheck.txt