Перейти к содержанию

[РЕШЕНО] Plus находит Mem:Trojan.Win.32.sepeh.gen после каждой загрузки


Рекомендуемые сообщения

что еще можно сделать.

Здесь по ссылке скачиваем твики для исправления поврежденных служб.

https://www.sendspace.com/file/6z93dq

Распаковать архив, выполнить по очереди твики *.reg от имени Администратора, разрешить внести исправление в реестр.

Перегрузить после этого систему.

 

далее,

 

выполним скрипт очистки в FRST.

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3431936 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Собираем новые логи FRST для контроля.

Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, есть ли детект Касперского после очистки или ушел после скрипта.

Далее, продолжим очистку системы.

К этому скрипту еще посмотрите Fixlog.txt

+ добавьте новые отчеты по обнаружениям из Касперского.

+ новые логи FRST для контроля.

Ссылка на сообщение
Поделиться на другие сайты

Да, вижу в логе FRST по автозапуску что скриптов с powershell уже нет.

Отслеживание процессов и задач можно отключить. В главном меню uVS -Дополнительно-Твики

выполнить твик 40. Без перезагрузки. После этого uVS можно закрыть.

+

можно удалить исключения, созданные вредоносами в Windef для своей активности.

 

Выполнить скрипт в FRST без перезагрузки системы.


 

Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\USERS\KIRARO~1\APPDATA\LOCAL\TEMP\DCONTROL.EXE"
Remove-MpPreference -ExclusionPath "C:\USERS\KIRAROZANOV"
Remove-MpPreference -ExclusionPath "C:\PROGRAMDATA"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\SYSTEM32\SECOPATCHER.DLL"
Remove-MpPreference -ExclusionExtension ".exe"
EndPowerShell:
End::

добавить новый Fixlog.txt

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Последний раз FRST для удаления исключений запускали с правами Администратора?

-----------

Если не получится выполнить в FRST через Администратора,

выполните скрипт с очисткой нежелательных исключений Windef в uVS.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref WD_EXCLUSION:\.EXE
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\SECOPATCHER.DLL
delref %SystemDrive%\USERS\KIRAROZANOV
delref %SystemDrive%\USERS\KIRARO~1\APPDATA\LOCAL\TEMP\DCONTROL.EXE

areg

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

------------

По возможности установите обновления для ПО:

 

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

Яндекс.Диск v.3.2.40.5041 Внимание! Скачать обновления

Google Chrome v.129.0.6668.89 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Так же просьба проверить в реестре эти ключи. Есть подозрение,что именно отсюда powershell считывал основной скрипт для запуска.


 

Цитата

HKCU:\Soklen108\Avantgarders
и
HKCU:\Taffarel\unspilled

Если данные ключи существуют, сделайте, пожалуйста, экспорт этих ключей в файлы, заархивируйте файлы с паролем virus и добавьте архив в ваше сообщение.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

по логу все хорошо, нежелательные исключения из Windef удалены

Цитата

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 5 из 5
Удалено файлов: 0 из 0

По ключам - спасибо!

ключи действительно живые. Эти ключи можно удалить через regedit.

 

На этом лечение завершено.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Myugs
      От Myugs
      Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

      CollectionLog-2024.10.10-22.18.zip
    • sova.prod123
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • Marchi
      От Marchi
      не знаю после чего конкретно началась проблема.
      Довольно долго я просто игнорировал нытьё компа о каких то там разрешениях, мол, хочешь чтобы разрешили? на, радуйся.
      Однако в какой-то момент просто надоело. 
      Пошёл разбираться что за лаунчер такой, обнаружил их аж 2 шт, снёс через обычное удаление программ ( и gt26-launcher и просто gt-launxer, оба снёс)
      Комп стал ныть что какой-то там сценарий (tasklC.vbs) не может найти какой-то файл...
      В общем очень хочется извести эту муть с ПК.
      Видел в темах подобный случай, но побоялся делать по инструкции от туда, мало ли...

      Помогите пожалуйста....
      CollectionLog-2024.10.06-06.00.zip
    • Crossbean
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
×
×
  • Создать...