[РЕШЕНО] Не удается вылечить MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen

[2936162]

Добрый день.

Поймали MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen. Касперский детектит, но вылечить не получается. Архив из AutoLogger приложил.

Помогите удалить вирусню.

CollectionLog-2025.03.26-12.53.zip

[safety]

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач:.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено 26 марта пользователем safety

[2936162]

12 минут назад, safety сказал:

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач:.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

 

Сделал, приложил.

DESKTOP-PUIB72C_2025-03-26_13-15-22_v4.99.10v x64.7z

[safety]

Чтож вы все цитируете. Когда можно просто написать свой ответ без цитирования. Ждем скрипт очистки.

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

unload %SystemDrive%\USERS\USER\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
delref HTTPS://GOGONE.RU/GL/?CID=25658&OID=19705&V=6&UTM_CAMPAIGN=ANYDESK
delref HTTPS://GOGONE.RU/GL/?CID=25658&OID=24765&V=6&UTM_CAMPAIGN=ANYDESK
delref HTTPS://GOGONE.RU/GL/?CID=25658&OID=29150&V=6&UTM_CAMPAIGN=ANYDESK
delref HTTPS://GOGONE.RU/GL/?CID=25658&OID=75XMXY&V=6&UTM_CAMPAIGN=ANYDESK
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)/TENSOR COMPANY LTD/SBIS3PLUGIN/25.1218.48/SERVICE/MODULES/PROCESS POOL\SBIS-RPC-PROCESS-POOL300.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\SKBKONTUR\UPDATER\1.3.0.267\KONTUR.UPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PDF EDITOR\PLUGINS\NPFOXITPDFEDITORPLUGIN.DLL
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\KDSERVICE\BIN\KDSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\134.0.6998.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\80.0.3987.149\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\21.5.0.582\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.57\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {2CE45A33-7A0A-45F7-AC0C-107CD9DC191A}\[CLSID]
delref %SystemDrive%\USERS\USER\DESKTOP\ОЛЬГА\1000\1000.URL
delref %SystemDrive%\USERS\USER\DESKTOP\ОЛЬГА\1000\1000.EXE
delref %SystemRoot%\SYSWOW64\ICLCRYPT.DLL
delref %SystemDrive%\PROGRAM FILES\YAMICSOFT\WINDOWS 7 MANAGER\1-CLICKCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES\YAMICSOFT\WINDOWS 7 MANAGER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\YAMICSOFT\WINDOWS 7 MANAGER\WINDOWS7MANAGER.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\ОЛЬГА\NARDY20.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OUTLOOK.EXE
delref %SystemRoot%\INSTALLER\{90140000-008B-0000-1000-0000000FF1CE}\XLICONS.EXE
delref %SystemRoot%\INSTALLER\{90140000-008B-0000-1000-0000000FF1CE}\WORDICON.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOXMLED.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPUTNIK\SPUTNIK\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 19.0.0\AVPUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACRORD32.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

отчет по обнаружению и сканированию из антивируса Касперского

+

Добавьте логи FRST для контроля очистки.

[2936162]

При выполнении скрипта не выключили Касперский и он закрыл uVS, после закрытия Касперского выполнили скрипт повторно и комп перезагрузился.

При выполнении "Быстрой проверки" Касперским - появилось сообщения о зараженных файлах (explorer.exe и conhost.exe), проверка идет более 30 мин и висит на 99% - попытались сохранить лог так - размер более 300мб, даже после сжатия 9мб, сюда не прикладывается.

Остальные логи приложили.

2025-03-26_13-34-13_log.txt Addition.txt FRST.txt

 

Быструю проверку Касперского остановили, сохранили отчет, заархивировали и разбили на 2 файла.

Файл не прикрепляется.

Залили в облако майла

https://cloud.mail.ru/public/RJN4/M6xBYFH5A

 

Запустили повторно быструю проверку касперского - прошла быстро и ничего не обнаружила. Странно.

Ссылка на архив также на майл облако https://cloud.mail.ru/public/zutb/TfiQn5BHT

[safety]

Судя по отчету Касперского обнаружений сегодня уже нет.

 

Сегодня, 26.03.2025 14:32:18            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-PUIB72C\user    Инициатор

 

логи FRST сейчас проверю.

[safety]

Добавьте новый образ автозапуска для контроля.

[2936162]

Сделали, приложили

DESKTOP-PUIB72C_2025-03-26_15-07-07_v4.99.10v x64.7z

[safety]

Да, остался updater.exe

 

еще раз выполняем скрипт очистки в uVS

 

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

запустите в Касперском проверку критических областей, и сообщение результат.

Изменено 26 марта пользователем safety

[2936162]

После выполнения скрипта и перезагрузки пк - папка и файлы все равно есть.

В Kaspersky Small Office Security только быстрая проверка и полная. Проверки критических областей не нашли.

Быстрая проверка - ничего не нашла.

 

 

Нашли службу от этого файла - отключили

2025-03-26_15-19-04_log.txt

Изменено 26 марта пользователем 2936162

[safety]

Продолжаем очистку:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [422352 2025-03-26] (Tonalio GmbH -> Sandboxie-Plus.com) <==== ВНИМАНИЕ
C:\ProgramData\Google\Chrome\updater.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, что с файлом, остался в этой папке или нет.

 

Если файл сохранится, (может такое быть)

тогда придется чистить его из безопасного режима системы.

Можно либо последним скриптом в uVS, либо этим же скриптом в FRST.

Изменено 26 марта пользователем safety

[2936162]

Скрипт выполнили, фикслог приложили.

После перезагрузки в папке осталась только dll`ка весом 95мб. Его удалить?

Fixlog.txt

 

Из соседней темы прочитали и на всякий случай, вдруг понадобится, сделали SecurityCheck.

 

SecurityCheck.txt

Изменено 26 марта пользователем 2936162

[safety]

Да, dll что рядом с updater.exe удалите вручную, сама она уже не запустится.

 

Переводим дух, и по возможности обновите ПО:

 

Microsoft Office профессиональный плюс 2013 - ru-ru v.15.0.5603.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

WinRAR 5.60 v.5.60 Внимание! Скачать обновления

Telegram Desktop v.5.5.5 Внимание! Скачать обновления

Adobe Acrobat Reader DC MUI v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Chromium-Gost v.120.0.6099.129 Внимание! Скачать обновления
Yandex v.23.3.0.2246 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

[2936162]

Спасибо за помощь, ПО обновим.