[РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen

[KitNE]

Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.

report1.log report2.log

[Sandor]

Здравствуйте!

 

Будьте внимательны, нужен архив с именем CollectionLog, а не файлы report*.log

[KitNE]

Спасибо, поздно понял свою ошибку 

CollectionLog-2025.03.24-11.23.zip

[Sandor]

Деинсталлируйте нежелательную программу - MediaGet.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[KitNE]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {d1188292-7bf9-48b2-b5c7-c73d081168f5} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-1934027016-3584707894-159946025-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 bits; C:\Windows\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [48096 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-11] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-08-04] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-19] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-08-04] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-13] (Microsoft Windows -> Microsoft Corporation)
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
  WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\zun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\zun.bat]
  WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
  WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId.dll]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

После этого ещё раз перезагрузите компьютер и соберите новые логи FRST.txt и Addition.txt

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[KitNE]

FSS.txt Fixlog.txt Addition.txt FRST.txt

[Sandor]

Логи смотрятся значительно лучше. Ещё один небольшой скрипт выполните, пожалуйста.

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  CloseProcesses:
  FirewallRules: [{8B599B71-7FEB-4182-9DF5-8607AE7EABE7}] => (Allow) LPort=32683
  FirewallRules: [{E69277FB-5B3B-4289-8229-E05442B9EDD7}] => (Allow) LPort=33683
  FirewallRules: [{6678BFFE-9D2A-4F29-9ED5-E80CEEA660AA}] => (Allow) LPort=26822
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Сообщите что с проблемой.

[KitNE]

Сделано, сейчас Касперский проверяет наличие трояна 

[Sandor]

23 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Это забыли.

[KitNE]

 

Fixlog.txt

Изменено Четверг в 06:54 пользователем KitNE

[Sandor]

20 hours ago, KitNE said:

Касперский проверяет наличие трояна

И каков результат?

[KitNE]

Всё отлично, антивирус ничего не обнаружил. Спасибо вам большое!)

Изменено Четверг в 10:50 пользователем KitNE

[Sandor]

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".