sepeh.gen [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen

[ipostnov]

Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

 

CollectionLog-2024.11.11-14.29.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ipostnov]

Addition.txt FRST.txt

[Sandor]

1 час назад, ipostnov сказал:

Поймал Trojan.Win32.SEPEH.gen

Это детект антивируса Касперского, верно?

 

Экспортируйте, пожалуйста, отчёт самого антивируса:

В главном окне программы перейдите в раздел Мониторинг и отчеты → Отчеты. Выберите отчеты, которые вы хотите экспортировать.

Прикрепите его (можно в архиве) к следующему сообщению.

[ipostnov]

15 минут назад, Sandor сказал:

Это детект антивируса Касперского, верно?

Да, это из касперского. Подскажите, пожалуйста, а какие именно нужны отчёты?

Мониторинг активности.txt Предотвращение вторжения 11.11.2024.txt

[Sandor]

Этих достаточно, спасибо. Сейчас дам скрипт.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  C:\Users\aanas\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-53270628-270667596-1903051020-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-10-20] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-10-20] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-10-20] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [90112 2024-10-20] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-10-20] (Microsoft Windows -> Microsoft Corporation)
  S3 ace-game; \SystemRoot\System32\drivers\ace-game.sys [X]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, распакуйте и запустите последовательно каждый файл, соглашаясь с внесением изменений в реестр.

Перезагрузите компьютер.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[ipostnov]

Fixlog.txt FSS.txt

[Sandor]

Сделайте проверку антивирусом и сообщите результат.

[ipostnov]

Вроде бы всё ок, ничего не обнаружил

Мониторинг активности после скрипта.txt Предотвращение вторжения после скрипта 11.11.2024.txt

[Sandor]

Ранее применялись ли некие твики для отключения телеметрии или обновлений системы?

Соберите новые логи FRST.txt и Addition.txt, пожалуйста.

[ipostnov]

Вроде бы нет, вирус через kms auto поймал

Addition.txt FRST.txt

[Sandor]

Ещё один скрипт выполните

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\aanas"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ipostnov]

Fixlog.txt

[Sandor]

Хорошо.

Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.