[РЕШЕНО] Trojan.Win32.SEPEH

[safety]

HKLM\System\CurrentControlSet\Services\Firfox => успешно удалены
Firfox => служба успешно удалены

Да, можно в нормальный режим перегрузиться и собрать новые логи FRST и образ автозапуска (если не будет ошибки)

[Dmitry Axe]

Образ автозапуска в uVS? Уточняю

[safety]

4 минуты назад, Dmitry Axe сказал:

Образ автозапуска в uVS? Уточняю

да, образ автозапуска в uVS

[Dmitry Axe]

Результаты сканирования в FRST во вложении. А вот uVS не удается запустить. Попробую удалить папку и из архива по новому разархивирую. 

FRST.txt Addition.txt

uVS так и не запускается больше. Но судя по нагрузке на ЦП системе уже стало легче. Попробовать прогнать сканирование в Касперском?

[safety]

15 минут назад, Dmitry Axe сказал:

Попробую удалить папку и из архива по новому разархивирую. 

да, проверьте, возможно было какое то повреждение в распакованной папке. FRST сейчас проверю.

[Dmitry Axe]

после разархивирования так по новому uVS так и не запустился к сожалению. Почистил отчеты Касперского и запустил экспресс сканирование. Лог скину по готовности.

[safety]

по очистке системы:

 

небольшой скрипт очистки в FRST без перезагрузки системы.

Start::
Task: {963A92CD-756C-440A-A364-BC1AC7EA3AF0} - \dialersvc64 -> Нет файла <==== ВНИМАНИЕ
End::

ждем отчет о сканировании в Kaspersky на предмет детекта SEPEH

Жаль, что не запускается uVS, что случилось не понятно. Может вы start.exe запускали из архива программы, а не из распакованной папки.

[Dmitry Axe]

uVS запускал разными способами из уже извлеченной папки - start64 от имени администратора и просто start. Результат один и то же всегда - вылетает с ошибкой (скрин кидал выше в теме).  Отчет Касперского во вложении. SEPEH благодаря вам побежден, но остался троян HEUR:Trojan.Multi.Agent.gen  - в журнале есть, подскажите пожалуйста как его победить? Запустить лечение через Касперского? Лог после скрипта FRST прикладываю.

Отчет Касперского.txt Fixlog.txt

[safety]

полностью отчет Касперского по обнаружениям добавьте, без купюр, чтобы были видны связи.

+

обратите внимание:

судя по первому логу FRST были добавлены подменные службы, реальные службы были скорее всего удалены.

Цитата

 

S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-11-01] (Microsoft Windows -> Microsoft Corporation)

U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)

S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)

S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-07] (Microsoft Windows -> Microsoft Corporation)

 

 

Что следует сделать:

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

+

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

 

Изменено 22 января пользователем safety

[Dmitry Axe]

Добрый вечер. Загрузил и запустил reg файлы по инструкции, перезагрузил систему, просканировал SecurityCheck - отчет во вложении. После перезагрузки антивирус Касперского не нашел больше никаких угроз и троянов. Единственный вопрос остается в том, что в отчете мониторинга активности есть одно предупреждение (во вложении отчет мониторинга, прошу прощения, но как делать полный отчет не совсем понятно). Спасибо большое вам за помощь!!! Будут ли какие либо рекомендации еще по восстановлению ОС после троянов?

Мониторинг активности.txt SecurityCheck.txt

[safety]

Хорошо,

последствия после вирусной атаки можно посмотреть здесь

https://www.virustotal.com/gui/file/6f9a4a0a1f837dfef070ed326a14d9629f4d94f98600c80cdda2d07778988381/behavior

в основном мы их устранили.

Возможно, добавлены исключения списка вредоносов в WinDef.

 

по возможности, обновите данное ПО:

 

Skype для бизнеса базовый 2016 v.16.0.4849.1000 Warning! This software is no longer supported. Please use Microsoft Teams.
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10  v.2.4.8-I602-Win10 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.131.0.6778.266 Warning! Download Update

Изменено 22 января пользователем safety

[Dmitry Axe]

Еще раз большое спасибо. Вы вселяете веру в людей своими добрыми делами!!!

[safety]

Спасибо за положительный отзыв.

 

--------------

 

Изменено 22 января пользователем safety

[Dmitry Axe]

После полного сканирования выявлено 2 вредоносных объекта (приложен отчет). Перенесены в карантин.  Удалить данные объекты?

Отчет проверки.txt

[safety]

Этот объект удаляем.

Лаборатория Касперского добавила сигнатуру обнаружения. Сам файл не активен, так как службу, через которую он запускался - мы удалили в FRST, т.е. его в памяти нет, только "трупик" лежит на диске. (По хорошему, да, надо было его сразу убрать совсем, после выполнения скрипта с удалением службы в FRST)

Цитата

Сегодня, 22.01.2025 20:21:53    C:\ProgramData\Mozilla\Firfox.exe    Обнаружено    Обнаружен вредоносный объект    Trojan.Win32.Agent.xbvfdb    Базы    Файл    C:\ProgramData\Mozilla    Firfox.exe    Обнаружено    Троянское приложение    Высокая    Точно    Legion\Dmitriy Axenov    Активный пользователь

 

Этот объект так же удаляем.

Он из карантина FRST, т.е. тоже безопасен.

Цитата

Сегодня, 22.01.2025 20:35:32    C:\FRST\Quarantine\C\Windows\System32\Tasks\dialersvc64.xBAD    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Multi.Agent.gen    Экспертный анализ    Файл    C:\FRST\Quarantine\C\Windows\System32\Tasks    dialersvc64.xBAD    Обнаружено    Троянское приложение    Высокая    Точно    Legion\Dmitriy Axenov    Активный пользователь

 

Сам FRST.exe можно переименовать в uninstall.exe и запустить от имени Администратора, чтобы он зачистил свои файлы, которые были созданы при исследовании.

 

Других вредоносных объектов не найдено.

Изменено 23 января пользователем safety