[РЕШЕНО] Не удается удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen

[INITIATED]

123.txtKIS обнаруживает два файла, определяет их как троянская программа, вылечивает один MEM:Trojan.Multi.Agent.gen, второй MEM:Trojan.Win32.SEPEH.gen пытается вылечить с перезагрузкой, но после перезагрузки вновь находит эти файлы. KVRT и Dr.Web_Curelt также не помогли.

CollectionLog-2025.03.24-20.56.zip

Отчет AutoLogger

Отчет uvs_latest

V2-PC_2025-03-24_20-47-16_v4.99.10v x64.7z

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[INITIATED]

Скрипты выполнил, карантин отправил, Имя карантина: 2025.03.25_quarantine_8c431b96e4740d6d84f670b8a19f59ab.7z

CollectionLog-2025.03.25-08.40.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[INITIATED]

Периодически троян пытается внести изменения, вылазит такое окно 

 

Выполнил

Отчеты FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3002837153-1044394881-2845805759-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3002837153-1044394881-2845805759-1001\...\Run: [GoogleUpdateTaskMachineQC] => C:\Users\Mikus\AppData\Roaming\Sandboxie\sandboxie.exe [422352 2025-03-24] (Tonalio GmbH -> Sandboxie-Plus.com) <==== ВНИМАНИЕ
C:\Users\Mikus\AppData\Roaming\Sandboxie\sandboxie.exe
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-07-31] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526272 2024-12-14] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [576512 2025-03-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-11-02] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3433472 2025-03-16] (Microsoft Windows -> Microsoft Corporation)
S2 KMSEmulator; temp.exe [X]
2025-03-24 16:40 - 2025-03-24 22:19 - 000014544 _____ (OpenLibSys.org) C:\WINDOWS\TEMPwvpicztntsen.sys
C:\Users\Mikus\Desktop\ворды — ярлык.lnk
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3002837153-1044394881-2845805759-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3002837153-1044394881-2845805759-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{88227DD6-3C06-4853-9824-1ADC81FD1D44}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\TrackMania Nations Forever\TmForeverLauncher.exe => Нет файла
FirewallRules: [{DE95BB79-0745-42AC-A9A6-FADA4F8BB849}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\TrackMania Nations Forever\TmForeverLauncher.exe => Нет файла
FirewallRules: [{54183FB9-F1C0-44CC-95F7-FAFCE3DD3F37}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\TrackMania Nations Forever\TmForever.exe => Нет файла
FirewallRules: [{A92F85A7-8E4F-461B-BAA8-3FAF53A8DD28}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\TrackMania Nations Forever\TmForever.exe => Нет файла
FirewallRules: [{4B895B16-44B3-47D6-89C7-FA364236ABAC}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{A8BD23DA-8644-4AD8-ABB7-7162C31C255C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2C8DE2AE-013C-4925-9D38-7AF19560D5F3}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{7A6E3AAF-4CBA-4DCC-B3BC-CD97A8105412}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{AFBD27C1-3ED6-47B3-89D8-5B581BBF7D3F}] => (Allow) C:\Users\Mikus\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{F21D8A3B-3996-47AF-A9C1-D7AB6B865718}] => (Allow) C:\Users\Mikus\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{2C23BA9F-A378-44D7-AF0A-796AE0BAC7A0}] => (Allow) C:\Users\Mikus\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{B6B37CE7-5A8E-4075-8A3D-76F410588EC9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fallout Shelter\FalloutShelter.exe => Нет файла
FirewallRules: [{C3F00363-8711-4A9E-A51A-8451E34E4452}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fallout Shelter\FalloutShelter.exe => Нет файла
FirewallRules: [TCP Query User{5290CF81-CD19-4077-B40C-DC669CD3EF97}C:\users\mikus\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\mikus\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{52B70572-F438-4E8F-AB63-D09B705AB0BF}C:\users\mikus\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\mikus\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [{8814B6B4-4B9E-4D9C-AC90-71336EF39346}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6EFDD88E-C519-42D9-9F6F-482ADBA01DBD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8743F862-E65E-4BD6-A09F-35E828CB6183}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{55613D52-FAB2-4597-B2A7-1C7B85232DDA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{774E2F10-F93A-4A81-AF9E-8428177D8A7D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5723F4D6-FA26-459B-99D3-05DB9C11B99B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[INITIATED]

Выполнено

Fixlog.txt

 

Посмотрел адрес данной программы по кнопке "подробнее" и в безопасном режиме удалил ее.

Сделал быструю проверку в KIS, KIS не нашел гадости.

[thyrex]

Она в скрипте для Farbar тоже удалялась.

Проблема решена?

[INITIATED]

На ночь еще полную проверку запущу, но думаю да. Огромное спасибо за помощь.

 

Полная проверка закончилась, вроде ничего страшного не нашел.

полная проверка.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[INITIATED]

Выполнено

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

LibreOffice 7.5.3.2 v.7.5.3.2 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
ASUS Live Update v.3.6.15 Возможно Ваша система скомпрометирована.. Скачайте утилиту диагностики для проверки.
Microsoft OneDrive v.25.031.0217.0003 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
VLC media player v.3.0.18 Внимание! Скачать обновления
Light Alloy 4.11.2 (build 3340) v.4.11.2 (build 3340) Данная программа больше не поддерживается разработчиком.
Adobe Acrobat (64-bit) v.25.001.20432 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Opera Stable 117.0.5408.53 v.117.0.5408.53 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.25.2.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.127.0.2651.74 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Mozilla Firefox (x86 ru) v.136.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

 

На этом закончим.

[INITIATED]

Хорошо. Спасибо огромное за помощь.

 

Microsoft Edge не запускается, пишет: Для получения дополнительных сведений обратитесь к своему системному администратору.

 

Удалить или обновить тоже не получилось.

[thyrex]

14 hours ago, INITIATED said:

Microsoft Edge не запускается, пишет: Для получения дополнительных сведений обратитесь к своему системному администратору.

обнаружили при попытке обновления? Вы вообще им часто пользуетесь?

[INITIATED]

Обнаружил после выполнения скрипта. И при попытке выполнить рекомендации:

Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Edge v.127.0.2651.74 Внимание! Скачать обновления

Пользуюсь не часто, сайт банка открывается в нем при запуске токена.