[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста

[Чилипиздрик]

Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.

CollectionLog-2025.06.18-20.38.zip

Изменено 18 июня пользователем Чилипиздрик

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\dqkdebodamgm\ezyrmuerzgtz.exe','');
 SetServiceStart('RDQWLEGN', 4);
 DeleteService('RDQWLEGN');
 DeleteFile('C:\ProgramData\dqkdebodamgm\ezyrmuerzgtz.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Чилипиздрик]

Произвела рекомендуемые действия, отправила quaruntine.7z с помощью формы отправки карантина, прикрепила новые логи

CollectionLog-2025.06.19-02.44.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Чилипиздрик]

Произвела рекомендуемые действия, прикрепила зипушку с 2 нужными файлами

archive.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [7760ac50-46d8-4cf8-b43a-b714f9534c49] => "C:\Users\Admin\AppData\Local\Temp\{4a104a86-7de9-4b8f-9626-1fd538c09121}\7760ac50-46d8-4cf8-b43a-b714f9534c49.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3033570854-4199931778-218735495-1001\...\Run: [NoxMultiPlayer] => "D:\Program Files\Nox\bin\MultiPlayerManager.exe" -startSource:auto_start (Нет файла)
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
File: C:\Users\Admin\AppData\Local\LightCyan_2.pfx
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-05-14] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-05-14] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-05-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3438080 2025-06-11] (Microsoft Windows -> Microsoft Corporation)
2025-06-18 07:26 - 2025-06-19 02:26 - 000000000 ____D C:\ProgramData\dqkdebodamgm
FirewallRules: [TCP Query User{66B0CF0C-8171-4D3F-A9D3-2CE5F8A37A6F}D:\дрова new\sdi_rus\sdi_x64_r2000.exe] => (Allow) D:\дрова new\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{2A86EDB2-93DF-4C38-B79A-A4C2E3B8473A}D:\дрова new\sdi_rus\sdi_x64_r2000.exe] => (Allow) D:\дрова new\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [TCP Query User{ED376F80-AF7D-41D0-B89B-5A7779857E95}C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe] => (Allow) C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe => Нет файла
FirewallRules: [UDP Query User{C70522C1-0AA3-4ADB-B1BB-937764E6FF1F}C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe] => (Allow) C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe => Нет файла
FirewallRules: [TCP Query User{BF9A3A1E-FAAD-4F4B-AEC2-3B12C220151D}C:\users\admin\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\admin\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{70B79B11-1CCE-4F6C-A8AB-37C9B2A438A7}C:\users\admin\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\admin\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [{F95C45F0-ACAB-4DDC-85C6-678C8C878634}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{EB7851EC-F0F1-4633-824C-86CEAD8500F3}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
FirewallRules: [TCP Query User{D8C3BC7C-4D5B-428E-B741-CB1A7ADDAE5B}C:\users\admin\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\admin\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{856EA502-6C55-40BB-A2DD-67963D8B424E}C:\users\admin\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\admin\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [TCP Query User{247124E2-8F99-46F2-952D-2544432F1A45}C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe => Нет файла
FirewallRules: [UDP Query User{83A29B12-3E17-403B-ACA9-ED34B2AAFAC3}C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.148\opera.exe => Нет файла
FirewallRules: [TCP Query User{7C681E1B-4187-400C-9A09-D6E74FC1091B}C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe => Нет файла
FirewallRules: [UDP Query User{0ECB2A3E-D938-4E64-A886-50467D1134AC}C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe => Нет файла
FirewallRules: [{9233872B-1C5C-49FC-8C01-641831B8E591}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\stats.exe => Нет файла
FirewallRules: [{9649ACB1-033C-44FF-8E74-08CEFBEC0EBF}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\WinWrapIDE.exe => Нет файла
FirewallRules: [{973954ED-CACE-4C78-AA30-B00893694CA4}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\stats.exe => Нет файла
FirewallRules: [{6BC4A135-0850-45F8-B253-C832B4611C7C}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\WinWrapIDE.exe => Нет файла
FirewallRules: [{BE3C61EC-A039-4446-914B-5687D6923173}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\stats.com => Нет файла
FirewallRules: [{5255A811-BE01-4885-8055-498F8DFB701E}] => (Allow) C:\Program Files (x86)\IBM\SPSS\Statistics\21\stats.com => Нет файла
FirewallRules: [TCP Query User{1C259657-EC46-4809-9B4F-66082BDE403B}C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe => Нет файла
FirewallRules: [UDP Query User{5F896E08-DB86-4D70-AFEF-DD8F3F082C17}C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.186\opera.exe => Нет файла
FirewallRules: [TCP Query User{A9DE822B-FE60-42FC-BEB1-A0EF5D79BD26}C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe => Нет файла
FirewallRules: [UDP Query User{363A96E6-1E94-4656-88EC-C18EB92BF218}C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe => Нет файла
FirewallRules: [TCP Query User{E6DB104F-B89F-41B5-B069-2B49FEE51829}C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe => Нет файла
FirewallRules: [UDP Query User{6DBBAC1B-31EF-42AD-A92D-E7E63CDC2C9A}C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.320\opera.exe => Нет файла
FirewallRules: [TCP Query User{43A722C0-9B69-4C0B-A7CF-C084CA7CCC7B}C:\program files (x86)\ibm\spss\statistics\21\jre\bin\javaw.exe] => (Block) C:\program files (x86)\ibm\spss\statistics\21\jre\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{7E709217-5991-40B0-84FC-D6006AEDF023}C:\program files (x86)\ibm\spss\statistics\21\jre\bin\javaw.exe] => (Block) C:\program files (x86)\ibm\spss\statistics\21\jre\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0EFAC78B-77B1-4A02-A7E7-6685F5897086}C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe => Нет файла
FirewallRules: [UDP Query User{95970CA2-847C-4FAA-AF78-0742D01737BD}C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe => Нет файла
FirewallRules: [TCP Query User{1C6756BD-FF21-4749-BC14-E1F774E8CF25}C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe => Нет файла
FirewallRules: [UDP Query User{2C2804A0-BC7E-4290-A1B7-7AA61D23E705}C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\72.0.3815.400\opera.exe => Нет файла
FirewallRules: [TCP Query User{9AC06265-0F39-44D0-94A7-698A1E73A690}C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe => Нет файла
FirewallRules: [UDP Query User{F1C7EFEE-7B42-41B4-9A4C-037D9086C1B3}C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe => Нет файла
FirewallRules: [TCP Query User{52E69C42-91A4-4D60-BC8F-15DD373E1FB3}C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe => Нет файла
FirewallRules: [UDP Query User{F76DE6BC-E203-44AA-AAD5-30E020985704}C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.284\opera.exe => Нет файла
FirewallRules: [TCP Query User{45BD8135-2839-4143-9EAF-ACF4EE9B4356}C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe => Нет файла
FirewallRules: [UDP Query User{037A796C-D8D6-424E-A6EE-164270CB7E3C}C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe => Нет файла
FirewallRules: [TCP Query User{643C9904-3842-4968-B860-9F4C5844BFFE}C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe => Нет файла
FirewallRules: [UDP Query User{0870BF1A-F78F-403A-A9C7-2812C62876C9}C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.329\opera.exe => Нет файла
FirewallRules: [TCP Query User{C2F259B5-604B-47AC-9911-6113FBC295E6}C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe => Нет файла
FirewallRules: [UDP Query User{2E35A24D-AEDF-4A28-AC07-9C9AD9F241ED}C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe => Нет файла
FirewallRules: [TCP Query User{80A503A7-F23C-467A-BA87-70DB8AC6F71D}C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe => Нет файла
FirewallRules: [UDP Query User{548C8D1C-D8C1-45A1-A22F-1F08E4C77FFD}C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\73.0.3856.344\opera.exe => Нет файла
FirewallRules: [TCP Query User{3949B802-66C2-4ECB-BF43-DFEA90E01C61}C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe => Нет файла
FirewallRules: [UDP Query User{1B2AD55E-9EFE-4FA5-B45D-5D7C24FED461}C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe => Нет файла
FirewallRules: [TCP Query User{FDE43226-CFD3-4FF1-A834-B9C9F2550D5E}C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe => Нет файла
FirewallRules: [UDP Query User{B1B550A6-55BA-418D-8FB1-1BD69A7730C4}C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.75\opera.exe => Нет файла
FirewallRules: [TCP Query User{FBE33591-70D4-4201-91D6-D759EE8B47C7}C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe => Нет файла
FirewallRules: [UDP Query User{C1DBF77F-6BA6-4491-8641-22A29C113443}C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe => Нет файла
FirewallRules: [TCP Query User{F657CAD8-523C-48FA-964F-3478F34D2133}C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe => Нет файла
FirewallRules: [UDP Query User{B63C61AE-9493-4093-A90D-77144B0A7FFE}C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\74.0.3911.203\opera.exe => Нет файла
FirewallRules: [TCP Query User{500F611A-C997-49D5-844F-EC50437344E9}C:\users\admin\appdata\local\programs\opera\75.0.3969.171\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\75.0.3969.171\opera.exe => Нет файла
FirewallRules: [UDP Query User{F8BB7FFA-BA61-42C2-A670-E051212009AA}C:\users\admin\appdata\local\programs\opera\75.0.3969.171\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\75.0.3969.171\opera.exe => Нет файла
FirewallRules: [{946A5B69-33FC-4DB3-B285-F6A47C83C7E4}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6E380081-45FB-46E7-9916-E4FFAE7F9568}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{76767B58-63A5-4768-B276-1077A811A454}C:\program files (x86)\utorrent\utorrent.exe] => (Block) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{235DF9BB-CEFE-4C48-85AA-23B043625AF5}C:\program files (x86)\utorrent\utorrent.exe] => (Block) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{09AE2CD1-5DD2-4D8C-AC35-47994AC2CED4}C:\users\admin\appdata\local\programs\opera\75.0.3969.243\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\75.0.3969.243\opera.exe => Нет файла
FirewallRules: [UDP Query User{9A043956-E1CE-4DC6-91B2-0BFF3FFC71B8}C:\users\admin\appdata\local\programs\opera\75.0.3969.243\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\75.0.3969.243\opera.exe => Нет файла
FirewallRules: [TCP Query User{A8157952-D2C5-4E9B-B274-222028017EB8}C:\users\admin\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [UDP Query User{EFD58F8A-D839-4430-B5F5-C4812557F5CC}C:\users\admin\appdata\local\programs\opera\76.0.4017.123\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [TCP Query User{51CBB41E-23D0-4A08-9BCB-C05BB920C8A9}C:\users\admin\appdata\local\programs\opera\76.0.4017.154\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.154\opera.exe => Нет файла
FirewallRules: [UDP Query User{37AF6B27-607B-4819-B46D-20970AFC3DFC}C:\users\admin\appdata\local\programs\opera\76.0.4017.154\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.154\opera.exe => Нет файла
FirewallRules: [TCP Query User{CA1B0BDA-A62F-4026-BF3C-C990CFE9F081}C:\users\admin\appdata\local\programs\opera\76.0.4017.177\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.177\opera.exe => Нет файла
FirewallRules: [UDP Query User{481C6C2A-DC91-4023-AB8C-86E0E25BB554}C:\users\admin\appdata\local\programs\opera\76.0.4017.177\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\76.0.4017.177\opera.exe => Нет файла
FirewallRules: [TCP Query User{07A2B99D-6212-48D7-BF26-6D1256CF40D8}C:\users\admin\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [UDP Query User{1B775292-DDA8-404B-A66A-8C7D8B0F0BB9}C:\users\admin\appdata\local\programs\opera\77.0.4054.90\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.90\opera.exe => Нет файла
FirewallRules: [TCP Query User{E6C82443-8BDD-4590-9255-C58B5365CE68}C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [UDP Query User{ED7625D7-88EE-401C-AA34-2C4641F416E6}C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{444E9C18-1EF7-45C7-829D-058857951BD1}C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [UDP Query User{E11A8BE6-D569-42B1-8D2A-314FD530E3A3}C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{57C77325-99E2-46CC-9E62-140DA01F1832}C:\users\admin\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{DBCE80CD-DD81-41B5-B5D6-313D763827AC}C:\users\admin\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{A5C3C9B8-371B-4C8C-A6F7-773CF5B2D095}C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [UDP Query User{714C62A2-D839-44C2-B456-8F81B4C7E0D3}C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [TCP Query User{0EAF3372-FB4B-4305-ADD2-48F22E0FD309}C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [UDP Query User{121FDF30-CD59-417E-884F-60DCF3130EDB}C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [{2248CD32-2670-47EE-8A6D-7C0E97C00786}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Нет файла
FirewallRules: [{54301A9D-1A9B-4037-9767-E0F3C6F9129F}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Нет файла
FirewallRules: [TCP Query User{CC50A764-F33C-44BF-B557-407BA9C54B78}C:\users\admin\appdata\local\zoom\plugin\webview2_x86\100.0.1185.39\msedgewebview2.exe] => (Block) C:\users\admin\appdata\local\zoom\plugin\webview2_x86\100.0.1185.39\msedgewebview2.exe => Нет файла
FirewallRules: [UDP Query User{7B3EC72C-AF17-43F6-906A-FDA92B291402}C:\users\admin\appdata\local\zoom\plugin\webview2_x86\100.0.1185.39\msedgewebview2.exe] => (Block) C:\users\admin\appdata\local\zoom\plugin\webview2_x86\100.0.1185.39\msedgewebview2.exe => Нет файла
FirewallRules: [{FDE7E23C-DA77-4C46-8690-B52B5ED47D3F}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{6B1DC27A-0AD8-4819-A994-9B090075B9B0}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{3EB99773-149D-4BB0-AE3E-21B08E3E892B}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{5D354A91-6C51-4244-81B7-F147AC2B0D67}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{5F7B3281-3420-48B3-AA26-2212CB418B16}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [TCP Query User{97C316CF-EFCF-49A3-B844-EF9BD06A879C}C:\users\admin\appdata\local\programs\opera\99.0.4788.13_0\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\99.0.4788.13_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{7AC5C013-F82F-44F8-8CBB-C319CC830888}C:\users\admin\appdata\local\programs\opera\99.0.4788.13_0\opera.exe] => (Block) C:\users\admin\appdata\local\programs\opera\99.0.4788.13_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{C56771D9-8045-4E76-8933-8171E93E56A3}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Block) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{83E1744F-EF2A-498E-89AA-8C9E619755B4}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Block) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[Чилипиздрик]

Произвела все рекомендуемые действия, прикрепила Fix log.

Fixlog.txt

 

Хочу уточнить. 1 пункт - это просто скопировать код? Больше никаких манипуляций не требуется?

[thyrex]

Что сейчас с проблемой?

[Чилипиздрик]

Теперь KVRT видит MEM:Trojan.Win64.Shellcode.gen

[thyrex]

Где обнаруживает?

 

[Чилипиздрик]

Обнаруживает в c:/windows/system32/drivers/etc/hosts

[thyrex]

Сделайте еще раз логи с помощью Autologger

[Чилипиздрик]

Вчера на сканировании KVRT нашел парочку новых троянов и что-то похожее на майнеры, все из этого он успешно вычистил, однако мне начинает казаться будто они откуда-то лезут. Сейчас KVRT говорит, что  все чисто. Победа? 

Новые логи прикрепила.

CollectionLog-2025.06.20-11.47.zip

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Чилипиздрик]

Выполнила рекомендуемые действия, прикрепила файл

SecurityCheck.txt