[РЕШЕНО] Trojan.Win32.SEPEH

[safety]

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\FIRFOX.EXE
regt 39
icsuspend
;------------------------autoscript---------------------------

addsgn A5703F2552177D2F9A6136FF259F5BBA9F2AC0DE005BAD06CC420A15277FC51D6A9C0CE63EBD6C1262807DD57AD75B81E78FBAF18FC9C27C7FF48E3C955670F0 8 Win64/Packed.VMProtect.AA 7

chklst
delvir

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\INSTALLER\YNDXSTP.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {967B2D40-8B7D-4127-9049-61EA0C2C6DCE}\[CLSID]
delref %SystemDrive%\USERS\LEGAP\APPDATA\LOCAL\TEMP\
delref %SystemRoot%\TEMP
delref %SystemDrive%\TEMP
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\LEGAP
delref {00020827-0000-0000-C000-000000000046}\[CLSID]
delref {65235197-874B-4A07-BDC5-E65EA825B718}\[CLSID]
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref {84F66100-FF7C-4FB4-B0C0-02CD7FB668FE}\[CLSID]
delref %SystemDrive%\KVRT2020_DATA\TEMP\E9A10B225D984DC88D29D581BE96FF99\KLUPD_F3A1C506A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CLOUD 21.3\X64\VSSBRIDGE64.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.856\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LEGAP\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\EBCCJJBCIEAAKLGAAIKBNDONCICDHGMN\35.20_0\BOOKREADER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LEGAP\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\KEIKFENDMCINAEINKDCCDJIDMOGAAAIN\35.19_0\IE TAB
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\23.3.4.602\RESOURCES\YANDEX/ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\USERS\LEGAP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\DPEDABMIPLGBEGLLIHBPFLMDAGBNHAJE\35.20_0\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\USERS\LEGAP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\LHHPIFLKMIOIHLKCCCFKMOPOIFHDKLPB\35.19_0\EDGE RELEVANT TEXT CHANGES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание здесь, в вашем сообщении.

+

добавьте новый образ автозапуска для контроля.

Изменено 21 января пользователем safety

[Dmitry Axe]

uVS пока не удается почему то запустить под текущим пользователем - начинается проверка и выкидывает из программы

[safety]

Пробуйте из безопасного режима системы с поддержкой сети выполнить этот же скрипт.

Изменено 21 января пользователем safety

[Dmitry Axe]

Доходит до этой (во вложении) проверки и вылетает в обычном режиме. Попробую в безопасном режиме.

 

[safety]

Странно, что у вас на скриншоте я вижу что заморожены потоки. В скрипте, что выше нет команды icsuspend.

Может не тот скрипт (не из той темы) выбрали для выполнения?

Изменено 21 января пользователем safety

[Dmitry Axe]

Я скрипт никакой еще не выбирал вообще, не дошел. Запустил uVS от имени администратора, потом нажимаю запустить под текущим пользователем и сразу начинается проверка и вылетает потом.

 

[safety]

Хорошо, включите при запуске start.exe -  заморозить потоки, внедренные в uVS

[Dmitry Axe]

1. Попробовал в обычном режиме ОС запустить uVS с замороженными потоками. Все равно вылет при той же ошибке. Мое подозрение (возможно ошибочно) - троян блокирует из вне.

2. Пробовал перезапустить ОС в безопасном режиме - очень долго грузиться, а потом нет беспроводной сети (ОС на ноутбуке) - пробовать проводное соединение только?

3. Скрипт можно запустить другой программой попробовать? 

[safety]

13 минут назад, Dmitry Axe сказал:

пробовать проводное соединение только?

если есть возможность подключить ноут через кабель к роутеру, пробуйте через проводное загрузиться  в безопасный режим с поддержкой сети. Так как придется брать скрипт из браузера со страницы форума.

13 минут назад, Dmitry Axe сказал:

1. Попробовал в обычном режиме ОС запустить uVS с замороженными потоками. Все равно вылет при той же ошибке. Мое подозрение (возможно ошибочно) - троян блокирует из вне.

образ он ведь смог собрать в первый раз, а сейчас мы пока даже не вышли на исходную позицию.

Скрипт предназначен только для uVS,

С FRST тоже похоже проблемы с выполнением, ведь выше уже было удаление вредоносных задач, но они опять появились в новом логе FRST.

Основной виновник, полагаю, Firfox,exe, но он к сожалению пока без детекта штатного антивируса.

Изменено 21 января пользователем safety

[Dmitry Axe]

Пишу с безопасного режима ОС с сетью проводной - uVS так же вылетает по такой же ошибке. 

[safety]

Хорошо, сейчас напишу скрипт для FRST, пока оставайтесь в безопасном режиме.

[safety]

Выполните очистку:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу.

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {18DF7864-C12B-4C2C-86A1-008A03BDA1AA} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-03-26]
Task: {F4137B22-A225-4882-BEA5-EBAB7076D4AF} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-03-26]
S2 Firfox; C:\ProgramData\Mozilla\Firfox.exe [18402816 2025-01-20] (Firefox) [Файл не подписан]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Если FRST запросит перезагрузку системы, перегрузите,

и соберите новые логи FRST и образ автозапуска.

[Dmitry Axe]

Немного запутался - копирую скрипт в буфер, запускаю FRST. Вставлять скрипт из буфера не надо? Просто нажать исправить? Сделал именно так - лог в приложении. Перезапустить и собрать новые логи?

Fixlog.txt

Изменено 21 января пользователем Dmitry Axe

[safety]

не надо. FRST его извлечен из буфера обмена, когда нажмете "Исправить".

[Dmitry Axe]

Лог прикрепил после исправления в предыдущем сообщении. Перезапустить в нормальном режиме и собрать логи по новому при сканировании в FRST?