Касперский обнаружил два вредоносных объекта. Вылечить не получается Trojan.Win32.SEPEH и Trojan.Multi.Agent

[Bobcheg]

Добрый день!

После скачивания книги в с неизвестного сайта  вероятно подцепил эту гадость. Касперский обнаружил угрозу, но лечению она не поддается.

Addition_12-03-2025 18.15.18.txt FRST_12-03-2025 17.50.07.txt

[Sandor]

Здравствуйте!

 

Начните с логов по правилам раздела - Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Bobcheg]

Логи прикрепляю

CollectionLog-2025.03.13-13.04.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Bobcheg]

Сделал

ClearLNK-2025.03.13_13.52.38.log CollectionLog-2025.03.13-14.00.zip

[Sandor]

Соберите новые логи Farbar:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Bobcheg]

У меня появился только один отчет

FRST.txt

 

Извиняюсь, заново запустил и все сработало. Высылаю логи

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://www.rambler.ru/?utm_source=r40&utm_medium=distribution&utm_content=e08&utm_campaign=c01","hxxp://www.yoursearching.com/?type=hp&ts=1449229034&z=3d5c91aa9a1203d135b2178gfzbz3t7oacdo3qco6q&from=itr&uid=3219913727_1789_B43A69D7","hxxp://www.yoursearching.com/?type=hp&ts=1449661885&z=b1bd12e8d8b57883e77a155gez6zataqeq2w0z6q2q&from=face&uid=3219913727_1789_B43A69D7","hxxp://www.yoursearching.com/?type=hp&ts=1449663160&z=70e74913267712466370554gfzczdtbq1q3qamdzco&from=face&uid=3219913727_1789_B43A69D7","hxxp://www.yoursearching.com/?type=hp&ts=1449675663&z=0a212750c7518660f8cb64bg7z2z5t4qbm4t8oez5c&from=face&uid=3219913727_1789_B43A69D7","hxxps://mail.ru/cnt/10445?gp=812205","hxxps://www.bing.com/?PC=L900"
  S3 bits; C:\WINDOWS\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\WINDOWS\SysWOW64\svchost.exe [48096 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1388544 2024-05-27] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [90112 2025-02-13] (Microsoft Windows -> Microsoft Corporation)
  S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [422352 2025-03-13] (Tonalio GmbH -> Sandboxie-Plus.com) <==== ВНИМАНИЕ
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [77824 2025-02-13] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [90112 2025-02-13] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181176 2025-02-13] (Microsoft Windows -> Корпорация Майкрософт)
  C:\ProgramData\Google\Chrome\updater.exe
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\eifwuhzc.sys:changelist [566]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него reg-файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Bobcheg]

FSS.txt Fixlog.txt

[Sandor]

reg-файлы все запустили успешно? В частности, не было ли ошибки при запуске BITS.reg?

 

Ещё один небольшой скрипт выполните:

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\Z1"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionExtension ".exe"
  EndPowerShell:
  Folder: C:\ProgramData\Google\
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Bobcheg]

Все файлы запустились успешно.

Fixlog.txt

[Sandor]

Сделайте очередную проверку антивирусом Касперского и сообщите результат.

[Bobcheg]

Все супер, проблема решена! Спасибо!

[Sandor]

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Bobcheg]

SecurityCheck.txt