[РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen

[Александр Лаптев 0]

Добрый день ноутбук заразился трояном

После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt

сделанные с помощью программы Farbar Recovery Scan Tool

[safety 130]

Добавьте, пожалуйста, все необходимые логи согласно правилам

«Порядок оформления запроса о помощи».

+

добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Александр Лаптев 0]

ПрикрепляюDESKTOP-HHUT8KO_2024-10-29_08-49-32_v4.99.2v x64.7z как прикрепить отчет от Kaspersky Virus Removal Tool не знаю. прикрепляю скрин

CollectionLog-2024.10.29-08.42.zip

[safety 130]

Отчеты по обнаружениям и сканированию нужны из интерфейса антивируса Касперского. (Не из KVRT)

Образ проверю немного позже.

[Александр Лаптев 0]

отчет касперского29.txt

[safety 130]

Судя по логу последнее обнаружение *SEPEH* было вчера.

Цитата

Вчера, 28.10.2024 23:49:00    pmem:\C:\Program Files\Dell\DellDataVault\DDVDataCollector.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files\Dell\DellDataVault    DDVDataCollector.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

[safety 130]

Выполните в uVS скрипт очистки:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)/TENSOR COMPANY LTD/SBIS3PLUGIN/24.5211.42/SERVICE/MODULES/PROCESS POOL\SBIS-RPC-PROCESS-POOL300.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\USERS\ADMIN\DOWNLOADS\SYSTEM\MSXML4.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\AAERRPORT.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\KMS\KMSAUTO_FILES\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ONCE HUMAN\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\SIRUS-OPEN-LAUNCHER\RESOURCES\APP.ASAR.UNPACKED\NODE_MODULES\NODE-NOTIFIER\VENDOR\SNORETOAST\SNORETOAST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\OFFICE6\KSOMISC.EXE

regt 40
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Очистите отчеты по обнаружениям и сканированию в консоли антивируса Касперского.

Выполните новое сканирование, и добавьте новые отчеты по обнаружению и сканированию из антивируса Касперского.

Изменено 29 октября пользователем safety

[Александр Лаптев 0]

2024-10-29_13-05-59_log.txt проверку запустил

 

отчет от касперского30.txt

[safety 130]

Судя по последнему скану Касперского *SEPEH* уже нет. Возможно, то что инициировало этот детект было зачищено во вчерашних сканированиях.

 

Последний детект:

Цитата

Сегодня, 29.10.2024 13:16:34    C:\Users\admin\AppData\Local\Programs\VisualStudio\UnoSetup.exe    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.    not-a-virus:Downloader.Win32.Agentb.ac    Базы    Файл    C:\Users\admin\AppData\Local\Programs\VisualStudio    UnoSetup.exe    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

[safety 130]

По дальнейшей очистке:

1. скачайте твики (*.reg) исправлений в реестре с данной страницы для вашей системы:

Платформа: Майкрософт Windows 10 Pro Версия 22H2 19045.5011 (X64) Язык: Русский (Россия)

для следующих служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

с этой страницы:

https://download.bleepingcomputer.com/win-services/

 

2. Выполните данные твики исправлений от имени Администратора.

3. После внесения исправлений в реестр перегрузите систему.

4. Далее выполняем очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S2 HSUURMZV; C:\ProgramData\Microsoft\Search\setup.exe [2885920 2024-10-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-17] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-16] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\WINDOWS\TEMP\ukmtzjwdrxxh.sys [14544 2024-10-28] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

 

 

 

[Александр Лаптев 0]

Fixlog.txt

[safety 130]

Если новых обнаружений нет,

 

сделайте завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Александр Лаптев 0]

SecurityCheck.txt

[safety 130]

По возможности обновите данное ПО:

 

Kaspersky v.21.18.5.438 Внимание! Скачать обновления

Git v.2.46.0 Внимание! Скачать обновления

Microsoft Office 365 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Dell SupportAssist v.3.8.0.108 Внимание! Скачать обновления

Microsoft Visual Studio Code (User) v.1.89.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Объекты управления Microsoft SQL Server 2008 R2 v.10.51.2500.0 Данная программа больше не поддерживается разработчиком.

Discord v.1.0.9023 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
AmneziaVPN v.4.1.0.1 Внимание! Скачать обновления
AdGuardVPN v.2.4.1475.0
OpenVPN 2.6.8-I001 amd64 v.2.6.801 Внимание! Скачать обновления

Google Chrome v.130.0.6723.70 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Driver Booster 11 v.11.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Изменено Среда в 07:33 пользователем safety

[safety 130]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".