Заражение трояном MEM:Trojan.Win32.SEPEH.gen

[LorianThet]

Добрый день, ПК заразился трояном

После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова

Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS

CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\winnit\taskhost.exe','');
 DeleteFile('C:\winnit\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryHosts');
 DeleteFile('C:\Programdata\Setup\sch.bat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[LorianThet]

CollectionLog-2024.12.09-00.06.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[LorianThet]

FRST.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {EE09C6DA-8E67-4381-AD7F-5A053047A489} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Program Files\WProxy
AlternateDataStreams: C:\Microsoft:ISBD [32]
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{6079a8f9-a263-11ef-9bfc-74563c3e85f5}.TM.blf:DD66D41B9A [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{6079a8f9-a263-11ef-9bfc-74563c3e85f5}.TMContainer00000000000000000001.regtrans-ms:B4F60FFBA3 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{6079a8f9-a263-11ef-9bfc-74563c3e85f5}.TMContainer00000000000000000002.regtrans-ms:BB3B3BD692 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AFK Journey.lnk:AF235EB692 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [3442]
FirewallRules: [{4418C089-B028-4C8F-AE5C-F302EA111D39}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{20F09605-6819-4EE0-BA17-8D1A5F703ABD}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{6881AEE9-2598-481D-9251-148D1FE3C692}] => (Allow) LPort=80
FirewallRules: [{F976DD86-D5A8-4FC3-BF06-64404E2ADFF8}] => (Allow) LPort=443
FirewallRules: [{BD10E155-6BF8-4148-B9F5-3F1F7C4B5059}] => (Allow) LPort=20010
FirewallRules: [{B5C998BD-73A4-4E0B-93CF-D9FF7462313A}] => (Allow) LPort=3478
FirewallRules: [{18A9A61D-1CEC-4955-8DA5-0E5E824467FF}] => (Allow) LPort=7850
FirewallRules: [{CB509CEA-8DA3-48F9-92C3-9D49F1388A56}] => (Allow) LPort=7852
FirewallRules: [{C4833EB7-83F0-4B36-84A6-88C6FE26795D}] => (Allow) LPort=7853
FirewallRules: [{84CDC778-BFCA-4D25-849D-359CC04C70FE}] => (Allow) LPort=27022
FirewallRules: [{8960164B-F9CD-449B-935E-A58F8D6BBEAE}] => (Allow) LPort=6881
FirewallRules: [{417F6209-A205-4D85-A1D5-AF32AEBBB034}] => (Allow) LPort=33333
FirewallRules: [{BC672777-6714-4A8D-A9BF-73B664407CAA}] => (Allow) LPort=20443
FirewallRules: [{5533628A-5E5B-4880-982F-8CF5E5D269B0}] => (Allow) LPort=8090
FirewallRules: [{8B4F1A32-9BF0-4C4F-BF77-3A34368C0EE5}] => (Allow) LPort=80
FirewallRules: [{726F3FC8-4F3D-4B36-B99A-4D1F7A98893A}] => (Allow) LPort=443
FirewallRules: [{799CB04F-2551-46AB-B614-5EF22D96D718}] => (Allow) LPort=20010
FirewallRules: [{A6D6CB65-8D21-43FC-86C3-A4BFE8679A7A}] => (Allow) LPort=3478
FirewallRules: [{6ACC4FCE-7E6B-4E4E-9E69-6EBAD34AEC18}] => (Allow) LPort=7850
FirewallRules: [{EAE94E3C-0216-4E79-A825-1FCB232BA9DD}] => (Allow) LPort=7852
FirewallRules: [{8F854BEB-2CD3-47B9-A50A-034DBB4E4622}] => (Allow) LPort=7853
FirewallRules: [{1112869E-A3AF-42C4-85A2-D4C9F580CA03}] => (Allow) LPort=27022
FirewallRules: [{E4D150A7-7767-4586-886B-661B1616F33C}] => (Allow) LPort=6881
FirewallRules: [{1D3B98D4-3CE5-4CCA-9A3A-B490ADFBE3B0}] => (Allow) LPort=33333
FirewallRules: [{8D7B3BFA-CDAB-427E-9F5B-E95228FCF0DF}] => (Allow) LPort=20443
FirewallRules: [{172AC202-606F-4F7F-B6C2-F54F9DE58EBB}] => (Allow) LPort=8090
FirewallRules: [TCP Query User{00EFDA23-3C17-46A1-A25C-8D9E64F01FC9}E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe] => (Allow) E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe => Нет файла
FirewallRules: [UDP Query User{5AA86D57-6F9E-4B1F-B99D-EBBECC4446D3}E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe] => (Allow) E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe => Нет файла
FirewallRules: [{6C332263-D07B-4A2A-90F4-C155E2A0F964}] => (Block) E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe => Нет файла
FirewallRules: [{8AB064F5-70A6-4CB8-8388-095AF0E1D19B}] => (Block) E:\games\trainer\games\прохожу\потом\adorable witch 3\adorablewitch3.exe => Нет файла
FirewallRules: [TCP Query User{F3CD0278-28DE-478A-8779-5A4DA80A6F24}E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe] => (Allow) E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe => Нет файла
FirewallRules: [UDP Query User{67253EA9-DDB8-4726-8016-60C58BF8CA09}E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe] => (Allow) E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe => Нет файла
FirewallRules: [{B3F6383B-14F7-412D-A4DA-02220A2CF247}] => (Block) E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe => Нет файла
FirewallRules: [{C7EAFD72-7905-4B32-8F72-7FA68DF71DB5}] => (Block) E:\games\trainer\games\прохожу\буду\elf world adventure part 1\water cup\watercup.exe => Нет файла
FirewallRules: [{4266F41F-AF15-4552-AE3E-31F5F722265B}] => (Allow) C:\Users\Lorian\AppData\Local\ArenaBreakoutInfiniteMiniloader\ArenaBreakoutInfiniteMiniloader.exe => Нет файла
FirewallRules: [{442D8C69-6442-4D2B-8E8D-2F5CDB93BCE0}] => (Allow) C:\Users\Lorian\AppData\Local\ArenaBreakoutInfiniteMiniloader\ArenaBreakoutInfiniteMiniloader.exe => Нет файла
FirewallRules: [TCP Query User{DDA9B123-88CF-47E4-969F-0C360AAD9F72}C:\users\lorian\appdata\local\discord\app-1.0.9159\discord.exe] => (Allow) C:\users\lorian\appdata\local\discord\app-1.0.9159\discord.exe => Нет файла
FirewallRules: [UDP Query User{24B4DC84-B61B-4DE6-86CD-D5E5099C5F4D}C:\users\lorian\appdata\local\discord\app-1.0.9159\discord.exe] => (Allow) C:\users\lorian\appdata\local\discord\app-1.0.9159\discord.exe => Нет файла
FirewallRules: [TCP Query User{5738A352-30A8-43C4-A1A9-095CCC3861D9}C:\users\lorian\downloads\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe] => (Block) C:\users\lorian\downloads\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe => Нет файла
FirewallRules: [UDP Query User{B0AE8A8D-1124-46E5-8EAE-2664B5A88FD3}C:\users\lorian\downloads\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe] => (Block) C:\users\lorian\downloads\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe => Нет файла
FirewallRules: [{762CCC5D-E8EE-4C2D-B3E1-7F2580A10F23}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{2CEA4A80-70A0-41E8-98B1-4695A587AF04}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{29470A7B-07D0-48EF-9822-815FD8AE067F}Z:\steamlibrary\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) Z:\steamlibrary\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1C3EA22F-98D1-4A8F-B7C0-1B90898C3094}Z:\steamlibrary\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) Z:\steamlibrary\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [{CF64D778-657A-4CAE-8A06-C9923ADCC293}] => (Allow) Z:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{4E3F5A59-01B1-4C9C-A288-A889E4386551}] => (Allow) Z:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{D96B5E44-5995-4619-99F8-79E2CDE45AD3}] => (Allow) Z:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{F4FF5152-F11B-4568-85F9-66F24A99F38E}] => (Allow) Z:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [TCP Query User{4852C62F-3873-4DC5-84CB-C7C740A06297}Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe] => (Allow) Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe => Нет файла
FirewallRules: [UDP Query User{B02DEEE9-E7A8-4192-A07D-A62314A30682}Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe] => (Allow) Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe => Нет файла
FirewallRules: [{65CA26B0-5135-427D-BC9C-0C71FE3FF279}] => (Block) Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe => Нет файла
FirewallRules: [{32422E4D-2285-4F33-B8B8-2CD07D578334}] => (Block) Z:\steamlibrary\steamapps\common\call to arms - gates of hell\binaries\x64\call_to_arms_server.exe => Нет файла
FirewallRules: [{7FE35EFE-78A9-4ADE-863F-D3F6245618BD}] => (Allow) C:\Users\Lorian\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe => Нет файла
FirewallRules: [{9337EC8C-A68C-4BBE-8F78-ACFF68DFEDB3}] => (Allow) Z:\War\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{90E58F17-A682-456F-B029-F3A32352128C}] => (Allow) Z:\War\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{6ABF5303-0E20-4594-A9DC-A398B593710D}] => (Allow) C:\Users\Lorian\AppData\Local\Warframe\Downloaded\Public\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{60BD4B89-3512-430D-A654-404F04AC640D}] => (Allow) C:\Users\Lorian\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe => Нет файла
FirewallRules: [{068111BE-36FC-4FC1-BD16-06099A04580F}] => (Allow) Z:\War\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{050D0FAF-D4E6-4515-8265-DACEB9089199}] => (Allow) Z:\War\Downloaded\Public\Warframe.x64.exe => Нет файла
FirewallRules: [{15AB0CC7-3132-4B2C-A6E8-4CDFB7718EBE}] => (Allow) C:\Users\Lorian\AppData\Local\Warframe\Downloaded\Public\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [TCP Query User{6D00599A-880B-4920-85D6-CD61BBFA5975}E:\games\trainer\games\прохожу\новая папка (3)\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe] => (Block) E:\games\trainer\games\прохожу\новая папка (3)\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe => Нет файла
FirewallRules: [UDP Query User{3B653890-01C5-47C7-BFF0-DE1B1BD97008}E:\games\trainer\games\прохожу\новая папка (3)\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe] => (Block) E:\games\trainer\games\прохожу\новая папка (3)\aura_hentai_cards_-_divine_edition_v1.5_dlc\aura hentai cards - divine edition  v1.5 + dlc\aura\aurahentaicards.exe => Нет файла
FirewallRules: [TCP Query User{0C881A01-8B3A-4A7D-8B46-2268C1C5D1A1}Z:\games\pathfinder wrath of the righteous\wrath.exe] => (Allow) Z:\games\pathfinder wrath of the righteous\wrath.exe => Нет файла
FirewallRules: [UDP Query User{1B64FCA0-983A-4A2C-88D8-0CF26656D359}Z:\games\pathfinder wrath of the righteous\wrath.exe] => (Allow) Z:\games\pathfinder wrath of the righteous\wrath.exe => Нет файла
FirewallRules: [{0460DA5B-CBBD-4F0C-B995-3D204BF192C7}] => (Block) Z:\games\pathfinder wrath of the righteous\wrath.exe => Нет файла
FirewallRules: [{48848E4C-2BDC-4BEE-8B4D-7D80FA7AA593}] => (Block) Z:\games\pathfinder wrath of the righteous\wrath.exe => Нет файла
FirewallRules: [TCP Query User{4A83BF19-FE5A-45A3-9460-8A57B85653DB}Z:\games\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) Z:\games\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{647820B7-0C08-4BAE-8BEC-F5E9090313BA}Z:\games\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) Z:\games\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [{2631D2F8-879B-4AF6-9CE3-F28238AF2AE9}] => (Block) Z:\games\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [{34621519-FA4A-45FB-B7D1-B48533CE4F05}] => (Block) Z:\games\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{1B33302C-7E8D-4764-8EC2-4A72719776C1}C:\users\lorian\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Allow) C:\users\lorian\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [{CEDC13B1-8376-40FA-B4EF-B7F84D982015}] => (Block) C:\users\lorian\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [{CC40D866-B51D-447E-940A-CFFD1F0479CA}] => (Block) C:\users\lorian\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[LorianThet]

Fixlog.txt

[thyrex]

Что с проблемой?

[LorianThet]

После последнего действия Windows зависал и устанавливал какие-то компоненты, после перезагрузки вроде всё прошло. Сама проблема вроде больше пока не проявлялась, Касперский пока ничего не нашёл, при перезагрузке ошибок больше нет. Спасибо за оперативную помощь!

[LorianThet]

На следующее утро после лечения заметил что на основном диске пропало почти 10 гигабайтов места и сломался интерфейс Windows, на панели задач при сворачивании и разворачивании приложения/паки интерфейс вылетает и перезагружается на экране появляется надпись с картинки и затем интерфейс перезагружается и папка закрывается. Так же вчера после лечения при выключении ПК было какое то обновление от Windows, хотя до этого обновлений никогда не было.

[thyrex]

Обновлений не было до фикса записи с WindowsUpdate.

Больше ничего критичного для системы скрипт не трогал.