Не удаляется MEM:Trojan.Win32.SEPEH.gen

[da.MIR]

Добрый день. Не удаляется MEM:Trojan.Win32.SEPEH.gen.

Перезагрузка не помогает. KVRT так же не помогает.

Используется на компьютере KAV11 Endpoint 

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[da.MIR]

Хм. Файл лога не загрулся при создании темы.

Все сделал по ссылке. Лог прикладываю.

CollectionLog-2018.11.26-14.57.zip

[Sandor]

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. Изменено 26 ноября, 2018 пользователем Sandor

[da.MIR]

Сделал

WESWS001_2018-11-26_18-16-43_v4.1.7z

Изменено 26 ноября, 2018 пользователем da.MIR

[regist]

@da.MIR,

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %Sys32%\KUSRINIT.EXE
   ;---------command-block---------
   zoo %SystemDrive%\USERS\A95B~1\APPDATA\LOCAL\TEMP\CHROME_BITS_11852_26302\BB99EA93AB0A9C19C27AE316E870AE3E36AD531223E4EAFED4046B32BE4D8AC3.CRXD
   delall %SystemDrive%\USERS\A95B~1\APPDATA\LOCAL\TEMP\CHROME_BITS_11852_26302\BB99EA93AB0A9C19C27AE316E870AE3E36AD531223E4EAFED4046B32BE4D8AC3.CRXD
   delref D:\M.P.R.1.2.5_2B PORTABLE\M.P.R.1.2.5_2B PORTABLE\BLOCK_READER.SYS
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2IEXP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_181\BIN\JP2IEXP.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
   delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
   delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
   delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
   delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID]
   delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
   delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
   delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
   delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
   delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
   delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
   delref {8DCB7100-DF86-4384-8842-8FA844297B3F}\[CLSID]
   delref {D2CE3E00-F94A-4740-988E-03DC2F38C34F}\[CLSID]
   delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
   delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
   delref {BAD4FE2C-503B-45CC-88CD-4B0574057D11}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {0000036B-C524-4050-81A0-243669A86B9F}\[CLSID]
   delref {7A47D1AC-F54D-43F3-6DA8-FC5F710F7812}\[CLSID]
   delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
   delref %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR.EXE
   delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT32.DLL
   delref D:\MPR12~1.5_2\MPR12~1.5_2\MPR.EXE
   bl 2062C2BE963E86F7E42F343F72F90F95 159744
   zoo %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\ROAMING\STA.DLL
   delall %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\ROAMING\STA.DLL
   apply
   
   regt 27
   regt 28
   regt 29
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

после этого проверьте, что с проблемой и сделайте свежий образ автозапуска.

[da.MIR]

Понял, сделаю когда буду за компьютером снова.

 

 

Вот по пункту 1. из предыдущего поста (сперва пытался файл загрузить сюда на форум).

 

(Этот образ снят до выполнения рекомендаций из сообщения №6)

https://virusinfo.info/showthread.php?t=220987

[da.MIR]

 

 

 

Готово. Отправил файл. 

Имя карантин-а(ов) сообщите в теме:

2018.12.20_ZOO_2018-12-20_13-31-26_d21733c507af110a9d7e876d1124482f.zip

 

Кажется, вирус удалился. Запустил полную проверку. Но что это было? И почему антивирус штатно не мог удалить его и как прошло заражение при запущенном антивирусе?

[regist]

 

 

и сделайте свежий образ автозапуска.