Перейти к содержанию

Виктор Тучков

Рекомендуемые сообщения

Здравствуйте.

На ПК установлен KES 10. Выгружал его по необходимости на пару часов. За это время успел словить Трояна mem:trojan.win32.sepeh.gen. Сидит в памяти, не удаляется. 

Прикрепляю логи.

Помогите, плиз.

CollectionLog-2018.12.04-09.38.zip

post-52040-0-56713200-1543907005_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Знакома ли Вам:

O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft -
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates -

Удалите Lavasoft (webcompanion) через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_756_181203&q={searchTerms} - Ad-Aware SecureSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [SuggestionsURL_JSON] = http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms} - Search the web
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t_k5qMBQV9RSw5WAvy76ipL-WC57mZUXtNHH_COurRKLA1dCRPW3G7fQzsBsxUXc8m4L64T8OAqMW0pQ8BxaxQBDtEHIauCyx9TdvRwJvctSObFyYu-WHisD3MvjXCZYf71j9uTUsWCnb7IRFwN0FQvdbiQfNGagQ4UezuT2mLdv0nS9KUA,,&q={searchTerms} - Search the web
O2 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - (no file)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {D1660F2C-BBC4-4D94-A6BA-EB25BC207DA5} - (no file)
O4 - MSConfig\startupreg: AdobeAAMUpdater-1.0 [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: MegaFon_MegaFonInternet [command] = (HKLM) (2017/08/28) (no file)
O4 - MSConfig\startupreg: QIP Internet Guardian [command] = (HKCU) (2015/06/02) (no file)
O4 - MSConfig\startupreg: QuickTime Task [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: Raptr [command] = (HKLM) (2015/06/02) (no file)
O4 - MSConfig\startupreg: Zona [command] = (HKCU) (2017/03/02) (no file)
O4 - MSConfig\startupreg: iTunesHelper [command] = (HKLM) (2015/06/02) (no file)
O23 - Service R2: ZjA0ZTRhZDY1YmQwZDlh - C:\Windows\system32\rundll32.exe C:\Windows\yoctnhbbrciatwn.aoct quT

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('ZjA0ZTRhZDY1YmQwZDlh');
 DeleteService('ZjA0ZTRhZDY1YmQwZDlh');
 QuarantineFile('NAUpdate.sys','');
 QuarantineFile('C:\Windows\yoctnhbbrciatwn.aoct','');
 DeleteFile('C:\Windows\yoctnhbbrciatwn.aoct','32');
 DeleteFile('C:\Windows\yoctnhbbrciatwn.aoct','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Web Companion','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.

Убедитесь, что у Вас установлены обновления закрывающие уязвимость SMB.
KB4012212
KB4012215

 

Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

А где лог удаления AdwCleaner ?

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.




 

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - <no Path/update_url>
    CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1801674531-1417001333-2140603275-2780\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2012-09-23]
    CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
    File: C:\Program Files (x86)\Windows Kits\8.0\App Certification Kit\fussvc.exe
    File: C:\Microsoft Visual Studio\Common\Tools\VS-Ent98\Vanalyzr\varpc.exe
    File: C:\Program Files\Windows Defender\mpsvc.dll
    S2 NAUpdate; no ImagePath
    File: C:\Windows\MjJmY2U.exe
    Zip: C:\Windows\MjJmY2U.exe;C:\Windows\uninstaller.dat
    File: C:\Windows\java.dll
    Task: {1321004D-53E0-4D98-9962-FC319091ADF2} - \Microsoft\Windows\Multimedia\u -> No File <==== ATTENTION
    Task: {F85B1C80-3BCE-499B-B4A8-BE92A81AEC50} - \Microsoft\Windows\Multimedia\m -> No File <==== ATTENTION
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму.

Ссылка на сообщение
Поделиться на другие сайты

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Еще это, пожалуйста.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    C:\Windows\MjJmY2U.exe
    C:\Windows\uninstaller.dat
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пришел ответ от ЛК касаемо первого карантина:

New malicious software was found in the attached file. Its detection will be included in the next update.
C:\Windows\yoctnhbbrciatwn.aoct - Trojan.Win32.Agentb.jhvc
Ссылка на сообщение
Поделиться на другие сайты

Пришел новый ответ от ЛК касаемо последнего карантина:
 

New malicious software was found in the attached file. Its detection will be included in the next update.
MjJmY2U.exe - Trojan-Downloader.Win32.Adload.rgmd
uninstaller.dat - Trojan.Win32.Agentb.bxlf
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • BotClity
      От BotClity
      Поймал вирус. И начало вылазить куча ошибок, что делать не знаю.Помогите



    • Barracuda_D
      От Barracuda_D
      Добрый день! При работе появляется вирус mem trojan.win32.sepeh.gen, KIS предлагает удалить вирус с помощью перезагрузки ПК. После перезагрузки спустя полчаса снова появляетс я этот вирус, и так каждый раз. Прошу помочь в решении проблемы.
      CollectionLog-2022.07.31-09.24.zip
    • yevgeniy_bulin
      От yevgeniy_bulin
      Здравствуйте! Знаю, что тут много кто уже лечил этот вирус. 
      Отдавал компьютер на переустановку виндоус, новый жёсткий диск. Мне установили ещё много разных программ, но сам вирус появился позже. Есть подозрение, что принесли на флешке с работы, т.к. флешка тоже была заражена чем-то. Касперский находит, его в памяти, но появляется снова. Доктор веб Cureit не видит. Помогите, пожалуйста, вылечить.
      CollectionLog-2021.10.29-20.23.zip
    • Saeron
      От Saeron
      Здравствуйте, не удаляется вирус trojan.win32.sepeh.gen
      CollectionLog-2020.12.30-19.15.zip
    • truesilent
      От truesilent
      Он начал ползти по всей конторе! кто притащил неизвестно но и не в этом суть.
      как быть ? требуется срочная помощь.
       
      так же был обнаружен win32.Perkiler.vho
       
×
×
  • Создать...