Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
помогите пожалуйста, логи прикрепил, спасите мои нервы..

Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:33211 (disabled)
O4 - Autorun.inf: F:\autorun.inf - open - sources\SetupError.exe x64 (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O17 - DHCP DNS 1: 109.236.87.2
O17 - DHCP DNS 2: 23.237.56.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{fe358df6-faab-446c-ac9a-001367d83575}: [NameServer] = 109.236.87.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{fe358df6-faab-446c-ac9a-001367d83575}: [NameServer] = 23.237.56.98
O23 - Driver R0: tUUfEmtZNeusPyufoObOX - C:\Users\piggy\AppData\Local\Temp\tUUfEmtZNeusPyufoObOX (file missing)
O23 - Driver R0: VcpLitLkUBMKH - C:\Users\piggy\AppData\Local\Temp\VcpLitLkUBMKH (file missing)
O23 - Driver R0: xSyBzvJjkrJNkeV - C:\Users\piggy\AppData\Local\Temp\xSyBzvJjkrJNkeV (file missing)
O23 - Driver S3: WinRing0_1_2_0 - C:\Users\piggy\AppData\Local\Temp\7zAE270E50\WinRing0x64.sys (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {2E28E211-C78A-4033-8DFB-EF8B2E78F5C6} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
    Task: {ABFC694E-2104-413B-8179-FB79C309B7B8} - System32\Tasks\CCleanerSkipUAC - piggy => "C:\Program Files\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
    ProxyServer: [S-1-5-21-2613557289-765822888-2803934279-1001] => hxxp://127.0.0.1:33211
    RemoveProxy:
    CHR HKU\S-1-5-21-2613557289-765822888-2803934279-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    S3 bits; C:\Windows\System32\svchost.exe [88152 2024-09-06] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 bits; C:\Windows\SysWOW64\svchost.exe [53296 2024-04-01] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1470464 2025-02-11] (Microsoft Windows -> Microsoft Corporation)
    U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-02-11] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [81920 2025-02-12] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-02-11] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181168 2025-02-12] (Microsoft Windows -> Корпорация Майкрософт)
    S3 WinRing0_1_2_0; \??\C:\Users\piggy\AppData\Local\Temp\7zAE270E50\WinRing0x64.sys [X] <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив. Извлеките из него все файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

 

Перезагрузите компьютер вручную.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Опубликовано

Логи в порядке, разве что слишком много опасных исключений в Защитнике. В частности на любой исполняемый файл, на весь системный диск и т.д.

Уберите лишние.

 

Сделайте полную проверку антивирусом Касперского и сообщите результат.

Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Опубликовано
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    regt 39
    restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
  6. Повторите новый образ автозапуска (пункты 2, 3 и 4 моего предыдущего сообщения). AutorunsVTchecker больше не нужно запускать.
Опубликовано

файл на 16 мб, не могу загрузить, что делать
но все что нужно было сделал

image.thumb.png.4c67eb607c4ed370808888d8c290c3b0.pngВот, что в нем находится

Опубликовано

Разве он не в архиве? В предыдущем сообщении вы ведь успешно загрузили.

В крайнем случае залейте на облако (или файлообменник) и дайте ссылку на скачивание.

Опубликовано

Ещё, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Похоже я кое-что пропустил.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Aizekelinho
      Автор Aizekelinho
      Касперским был обнаружен вирус MEM:Trojan.win32.SEPEH.gen, после проверки не удаляется, вот логи
      CollectionLog-2025.01.16-19.02.zip
    • mtt
      Автор mtt
      kvrt обнаружил троян MEM:Trojan.Win32.SEPEH.gen. При попытке лечения чёрный экран.
       
      CollectionLog-2023.11.16-19.07.zip
    • krovin
      Автор krovin
      доброго дня. год назад CollectionLog-2023.09.11-14.35.zipскачал архив и только недавно Kaspersky Total Secruity заметил троян. Вроде как лечит, но после перезагрузки он опять работает как svchost.exe сразу как 4-6 службы, нагружая память до 5-7К. логи выше
    • Kapibara
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • ysomad
      Автор ysomad
      Здравствуйте, каким-то образом словил Win32.SEPEH.gen. Касперский файлы лечит, но он появляется снова и прыгает по разным файлам.
       
       
      Принудительное сканирование этих файлов ничего не дает. KRD тоже ничего не нашел.
      Прикрепляю логи CollectionLog-2025.01.26-21.54.zip
       
      Заранее спасибо за помощь.
×
×
  • Создать...