Trojan MEM SEPEH gen не удаляется

[MultiFace]

Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 

Помогите в решении пожалуйста 

CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[MultiFace]

AV_block_remove_2025.02.22-17.24.log

 

CollectionLog-2025.02.22-17.38.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5ACBFCDB-4976-4782-9B5A-ED931E088EAC} - \Обновление Браузера Яндекс (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5CEE2872-5F3B-4E30-8858-159C7DA7B2CB} - \RtkAudUService64_BG (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{63084E75-701A-413F-8AA9-801060EAE476} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132-Logon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{646245CC-B631-41AE-A154-2C732DF4317A} - \ASUSSmartDisplayControl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{90100A18-3F81-40D5-AB1D-40E4DEAA4A7B} - \Update for Yandex Browser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9ADA759-CAB7-41C8-9722-53C3F9AE8BAD} - \IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E4234AA8-5EEB-48D7-89ED-A5A5D2DF0CD6} - \IntelSURQC-Upgrade-86621605-2a0b-4128-8ffc-15514c247132 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1E44914-5B0B-464B-8B7F-806E49D85EBB} - \Opera GX scheduled assistant Autoupdate 1684240992 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA894B1A-3ACD-407E-9666-BADD8FA392B8} - \USER_ESRV_SVC_QUEENCREEK (no xml)
O22 - Tasks: (disabled) \Microsoft\Windows\UpdateOrchestrator\Reboot_AC - C:\WINDOWS\system32\MusNotification.exe /RunOnAC RebootDialog (file missing)
O22 - Tasks: (disabled) \Microsoft\Windows\UpdateOrchestrator\Reboot_Battery - C:\WINDOWS\system32\MusNotification.exe /RunOnBattery RebootDialog (file missing)
O22 - Tasks: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: (disabled) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_7a3a8aa248377da4\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\PI\SecureBootEncodeUEFI - C:\WINDOWS\system32\SecureBootEncodeUEFI.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackgroundUploadTask - {59B9640B-3F70-4D1C-B159-F26EEB8A4C87} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\NetworkStateChangeTask - {A4173A49-F373-4475-9A0F-2D615204DC20} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesD\RecoveryHosts - C:\Programdata\Microsoft\wpcwu\script.bat (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesD\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesD\wpcwu - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23050.5-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\MapInfo - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: ASUS Optimization 36D18D69AFC3 - C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_7a3a8aa248377da4\ASUSOptimization\AsusHotkey.exe -CancelShutdown (file missing)
O22 - Tasks_Migrated: ASUS Update Checker 2.0 - C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_7a3a8aa248377da4\ASUSSoftwareManager\AsusUpdateChecker.exe (file missing)
O22 - Tasks_Migrated: Opera GX scheduled assistant Autoupdate 1684240992 - C:\Users\Многоликий\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Многоликий\AppData\Local\Programs\Opera GX\assistant" $(Arg0) (file missing)
O22 - Tasks_Migrated: Opera GX scheduled Autoupdate 1684167277 - C:\Users\Многоликий\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.5.4.674\service_update.exe --repair (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[MultiFace]

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3151914814-639032674-2986275510-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Многоликий\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3151914814-639032674-2986275510-1001\...\RunOnce: [Uninstall 25.005.0112.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Многоликий\AppData\Local\Microsoft\OneDrive\25.005.0112.0003" [0 2025-02-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
R2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\25.2.1.887\service_update.exe" --run-as-service [X]
ContextMenuHandlers1: [Kaspersky Standard 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Standard 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Standard 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Standard 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
FirewallRules: [{4EFA8067-771D-40E4-9339-A30AE2BF0530}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AB6FDAA7-ABD3-4184-8D4D-A79210AA69A7}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{CDB82339-CDD0-4FF8-A41C-845FC378E772}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{65A35317-B104-44A3-96D0-3309C0A0B96C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1E3B2195-65D0-4A88-BADC-5CCF2AEF4491}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{28D2EA4F-91E4-4F5E-A519-8B98534DAF72}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6A716264-C678-499A-BABA-A6DC49634391}] => (Allow) C:\Program => Нет файла
FirewallRules: [{CC7A52BE-EA5A-41FB-A62F-989F3EFE1BC7}] => (Allow) C:\Program => Нет файла
FirewallRules: [UDP Query User{EC8094BF-A368-4250-A166-2E36EDA83A6C}C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{73E1CBA9-5A42-4B0B-A253-1BBC6BA73EB0}C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{DCF18828-6878-49D9-A1EB-52B80A265E48}C:\users\многоликий\appdata\local\programs\yandexmusic\яндекс музыка.exe] => (Allow) C:\users\многоликий\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
FirewallRules: [TCP Query User{852E7C4D-CBC9-4F72-952B-660296D86DF5}C:\users\многоликий\appdata\local\programs\yandexmusic\яндекс музыка.exe] => (Allow) C:\users\многоликий\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[MultiFace]

Fixlog.txt

[thyrex]

Что сейчас с проблемой?

[MultiFace]

Все решено, спасибо большое!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.