Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Mem:TRojan.win32.SEPEH.gen и HEUR:trojan.multi.genBadur.genw

Nikita P.

От Nikita P.
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Nikita P. Новичок

Nikita P.

Опубликовано
Опубликовано (изменено)

Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

2024-12-19_23-01-56.png

CollectionLog-2024.12.19-23.27.zipПолучение информации...

Изменено пользователем Nikita P.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.


 

  Цитата

Client Helper 6.1.6

gt-launcher 5.3.1

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

Expand  

удалите через Панель управления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1725300998456');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1725300996407');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730575625703');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730575628363');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
Nikita P. Новичок

Nikita P.

Опубликовано
  • Автор
Опубликовано

дополню. Компьютер стоял без нагрузки последний час с открытым диалогом, после чего появилс экран смерти( ранее такого не было)

 

Ссылка на комментарий
Поделиться на другие сайты
Nikita P. Новичок

Nikita P.

Опубликовано
  • Автор
Опубликовано
  19.12.2024 в 19:27, thyrex сказал:

Отправьте quarantine.7z из папки с распакованной утилитой AVZ

Expand  

папка пустая

2024-12-20_00-48-18.png

CollectionLog-2024.12.20-00.50.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\ProgramData\NameserverUpdate.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\Run: [YandexBrowserAutoLaunch_2ACEF05A6BD8E1550E626C7FE5E7CCBD] => "C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {4e0167de-bcb3-4f0b-b5b4-c10252822e1e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
C:\Users\прудик сво\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\abllidogonacmlfecmnmmmdfdcplgpac
C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kbfdobfbaembjngeejdpapfmjomfidbb
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-19] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
R2 AUEPLauncher; C:\Program Files\AMD\CIM\..\Performance Profile Client\AUEPDU.exe [0 0] (AMD) <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-19] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S2 DrWebCldSvc; "C:\Program Files\DrWeb\dwcloudhost.exe" [X]
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-18] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\Windows\TEMP\sgnkqesxnyxf.sys [14544 2024-12-19] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
C:\Windows\TEMP\sgnkqesxnyxf.sys
2024-10-19 17:50 - 2024-12-20 00:27 - 000007163 _____ C:\Users\прудик сво\ex-list2.json
2024-10-19 17:50 - 2024-10-19 17:56 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\ClientHelper
2024-10-19 17:50 - 2024-10-19 17:50 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\com.gtoppocket.launcher
2024-08-16 23:05 - 2024-12-12 11:35 - 000000304 _____ () C:\Users\прудик сво\uTorrentPro.dat
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [TCP Query User{8AA02C1B-DAEC-440C-B673-E04941158C19}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{5C16B6F3-6242-4C42-A90E-78F17B442B84}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{974BA55A-80A4-4C21-BD12-70609B1D103F}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{A17AE3A9-F3FD-432B-8FF7-79A805CBA147}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{0827A7EC-AA04-49B0-A353-8006949EFE61}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{39BE8472-36B0-4234-B752-E1C91EA16A28}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{C7911AE9-3CDF-4776-A996-4B20545FBF16}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpnSvc.exe => Нет файла
FirewallRules: [{AA851B8D-26ED-4FC8-965C-2826B330A9FD}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpn.exe => Нет файла
FirewallRules: [{D0565571-9566-41B3-AE4C-5F061965216B}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
FirewallRules: [{03D0BBBE-4FF8-4C84-8611-226824E85010}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла
FirewallRules: [{C0450F11-176F-4FB2-B9A6-26B27727A8BE}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Nikita P. Новичок

Nikita P.

Опубликовано
  • Автор
Опубликовано
  20.12.2024 в 16:25, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Expand  

 

Fixlog.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Nikita P. Новичок

Nikita P.

Опубликовано
  • Автор
Опубликовано

К  сожалению нет. Вирусы на месте и видеокарта продолжает грузиться на 100% на рабочем столе.

2024-12-20_21-55-11.png

закрыл диспетчер задач

2024-12-20_21-57-26.png

 

сейчас  heur троян пропал, остался только второй

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните написанное ниже в безопасном режиме загрузки


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-20] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\NameserverUpdate.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Nikita P. Новичок

Nikita P.

Опубликовано
  • Автор
Опубликовано
  20.12.2024 в 19:29, thyrex сказал:

Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

Expand  

 

Fixlog.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем
×
×
  • Создать...