[РЕШЕНО] скачал себе MEM:Trojan.Win32.SEPEH.gen

[Дэннис]

помогите удалить, попалось с кряком фотошопа, не знаю что делать теперь(

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Дэннис]

да, извините , не знал про это, уже занялся этим, спасибо

Addition.txtFRST.txt

[thyrex]

Перечитайте написанное по ссылке и пришлите нужные логи. То, что Вы прислали, у Вас пока никто не просил.

[Дэннис]

CollectionLog-2025.01.02-14.22.zip

[thyrex]

C:\Users\Дэннис\SystemRootDoc\Topazserv.exe - эта программа Вам известна?

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKCU\..\StartupApproved\Run: [Spotify] = C:\Users\Дэннис\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized (file missing) (2024/12/04)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation (empty)
O22 - Tasks: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\WINDOWS\system32\MusNotification.exe (file missing)
O22 - Tasks: OneDrive Reporting Task-S-1-5-21-1766969373-2980736335-983900106-1001 - C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-1766969373-2980736335-983900106-1001 - C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)
O22 - Tasks_Migrated: OneDrive Reporting Task-S-1-5-21-1766969373-2980736335-983900106-1001 - C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Tasks_Migrated: OneDrive Standalone Update Task-S-1-5-21-1766969373-2980736335-983900106-1001 - C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\24.10.2.664\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Обновление Браузера Яндекс - C:\Users\Дэннис\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\24.10.2.664\service_update.exe --run-as-launcher (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Дэннис]

C:\Users\Дэннис\SystemRootDoc\Topazserv.exe - эта программа Вам известна?
 Да известна.

я делаю вот это

Выделите правой кнопкой мыши весь скрипт, который Вам написал консультант и вызовите контекстное меню щелчком правой кнопки мышки и выберите Копировать

2. Запустите файл AV_Z.exe, нажмите Файл и в выпавшем меню нажмите Выполнить скрипт

3. В появившемся окне вызовите контекстное меню щелчком правой клавиши мышки и нажмите Вставить

4. И нажмите в этом же окне на кнопку Запустить

И мне выдает ошибку.  Все что сказано я выключил перед этим

[thyrex]

Написано же

39 минут назад, thyrex сказал:

Пофиксите в HiJackThis

 

[Дэннис]

я сделал

[thyrex]

У Вас катастрофические проблемы с чтением.

1 час назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

[Дэннис]

извините

CollectionLog-2025.01.02-16.06.zip

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера и сообщите результат.

 

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Дэннис]

Сделал полную проверку, угроз не обнаружено, а потом снова появился троян

папка.zip

Изменено 2 января пользователем Дэннис

[thyrex]

2 часа назад, Дэннис сказал:

угроз не обнаружено, а потом снова появился троян

после каких действий?

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Folder: C:\Users\Public\Libraries
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{021E4F06-9DCC-49AD-88CF-ECC2DA314C8A}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{07CA83F0-DF06-4E67-89DD-E80924A49512}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{0827D883-485C-4D62-BA2C-A332DBF3D4B0}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{1F80F4F0-5D28-40D3-A252-4D3662D5E4BA}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{389510b7-9e58-40d7-98bf-60b911cb0ea9}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\Microsoft.SharePoint.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{544c4c52-de0b-4d14-9510-21745381d5ca}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{7AE67172-9863-42B1-8750-2B85084FD8E8}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\Microsoft.SharePoint.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{94269C4E-071A-4116-90E6-52E557067E4E}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{a3d7e084-b0df-4d14-8e0a-27a572a6332c}\localserver32 -> "C:\Program Files\Sony\Imaging Edge Desktop\ied.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{A926714B-7BFC-4D08-A035-80021395FFA8}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-1766969373-2980736335-983900106-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\Дэннис\AppData\Local\Microsoft\OneDrive\24.226.1110.0004\FileCoAuth.exe" => Нет файла
2024-12-04 12:23 - 2024-12-04 12:23 - 000000000 __SHD C:\ProgramData\Setup
S3 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" [X]
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF Plugin: @videolan.org/vlc,version=3.0.16 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Нет файла]
C:\Users\Дэннис\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\njlbddfaminajpokdojoimbcbaaboohm
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Дэннис]

после того как я скачал браузер гуг хром, я его скачал с оф сайта, но когда открыл там появились расширения которые я не устанавливал MacAfee и Mavlerbytes, я их просто удалил. 

Fixlog.txt