[РЕШЕНО] Win32.SEPEH.gen, Reflo.pef

[alena.sviridenkova]

Здравствуйте, подскажите пожалуйста, поймала Win32.SEPEH.gen., HEUR:Trojan.win64.Reflo.pef
Лечение не помогает прыгает по разным файлам.

отчет 26.02.25.txt

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[alena.sviridenkova]

все сделала, логи во вложенииCollectionLog-2025.02.26-13.57.zip

Изменено 26 февраля пользователем alena.sviridenkova

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[alena.sviridenkova]

FRST.txtAddition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S3 bits; C:\Windows\System32\svchost.exe [57528 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [47040 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-07-02] (Microsoft Windows -> Microsoft Corporation)
  S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-12] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-12] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv; C:\Windows\system32\svchost.exe [57528 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [47040 2024-07-02] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-12] (Microsoft Windows -> Microsoft Corporation)
  Folder: C:\ProgramData\vgodrqhybann
  FirewallRules: [{7D27CFD2-8970-4806-AD38-DF61D5AC1628}] => (Allow) LPort=32683
  FirewallRules: [{7EF05441-179B-42B6-BAB5-64994216530F}] => (Allow) LPort=33683
  FirewallRules: [{14D703F7-43A7-42A2-AF45-4C019B056012}] => (Allow) LPort=26822
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него все reg-файлы и запустите каждый последовательно, соглашаясь с внесением изменений в реестр.

После этого перезагрузите компьютер и соберите новые логи FRST.txt и Addition.txt, предварительно удалите старые.

Изменено 26 февраля пользователем Sandor

[alena.sviridenkova]

Fixlog.txtAddition.txtFRST.txt

[Sandor]

Ещё один небольшой скрипт выполните, пожалуйста.

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\PC_Dima"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  Remove-MpPreference -ExclusionExtension ".exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Проверьте и сообщите решена ли проблема.

[alena.sviridenkova]

Fixlog.txt
Сейчас ошибок не показывает, вроде помогло!
Еще полную проверку запустила, посмотрю.
Большое спасибо за помощь!
 

[Sandor]

Хорошо, дождитесь окончания проверки и выполните завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[alena.sviridenkova]

SecurityCheck.txt

[Sandor]

20 часов назад, alena.sviridenkova сказал:

Еще полную проверку запустила, посмотрю.

И каковы результаты?

 

Исправьте по возможности:

Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20857 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
AnyDesk v.ad 8.0.10 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
7-Zip 24.07 (x64) v.24.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom Workplace v.6.2.11 (50939) Внимание! Скачать обновления
OpenVPN 2.5.0-I601 amd64 v.2.5.019 Внимание! Скачать обновления
µTorrent v.3.6.0.47162 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Codec Pack 18.4.5 Standard v.18.4.5 Внимание! Скачать обновления
Yandex v.25.2.1.887 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.133.0.6943.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

[alena.sviridenkova]

27.02.2025 в 12:58, Sandor сказал:

И каковы результаты?

все отлично, все ошибки устранены, вирусы удалены! Огромное вам спасибо за помощь!

[Sandor]

Хорошо. Возьмите на заметку - Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".