Перейти к содержанию
Правила раздела

Удалить MEM:Trojan.Win32.SEPEM.gen

aleks123

От aleks123
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

aleks123 Новичок

aleks123

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Касперский не включался. Dr.Web CureIt обнаружил MEM:Trojan.Win32.SEPEM.gen. Лечение не помогает. Правда Касперский включился. Диагностика затруднена невозможностью выхода в инет. Вирус не дает войти в браузер.

CollectionLog-2018.12.29-15.04.zip

Изменено пользователем aleks123
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('YjhjNDY5NzMzNmY0');
 StopService('ZWE4MDg3MTZlYTliNmF');
 QuarantineFile('C:\Program Files (x86)\eWYajPnOeUUP.exe', '');
 QuarantineFile('C:\Program Files (x86)\IqImakLWU\muUyQO.dll', '');
 QuarantineFile('C:\Program Files (x86)\NormalMap\695776405.exe', '');
 QuarantineFile('C:\Program Files (x86)\sJStiVKOXTbU2\GmcuKUJysQLOD.dll', '');
 QuarantineFile('C:\Program Files\NWQzZjdkZT\Mzk5NTk1.exe', '');
 QuarantineFile('C:\Program Files\Windows Mail\A3LCDA1S4S23O3AMJFV2O4QM\v&gWUejs_G.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\YjhjNDY5NzMzNmY0', '');
 QuarantineFile('C:\WINDOWS\zbbhdvyacr.zbb', '');
 DeleteSchedulerTask('{9EC63451-E5EC-3FF7-F1CA-5CBD04280F96}');
 DeleteSchedulerTask('{BB0582E0-7153-3F60-34A1-8AC88CABBF6F}');
 DeleteSchedulerTask('{CDDD0597-7DCF-9456-4DD7-61B721C31F72}');
 DeleteSchedulerTask('37aa96a4-41f8-4a39-83ef-2ffafb13a5b1');
 DeleteSchedulerTask('a1c35c87-6890-4184-9a00-e3670dd5182e');
 DeleteSchedulerTask('ElementsBrowser Update');
 DeleteSchedulerTask('GlnbYwYgBEZMGa');
 DeleteSchedulerTask('GWxQNBplqhHPwzb');
 DeleteSchedulerTask('GWxQNBplqhHPwzb2');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001Core');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001Core.job');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001UA');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001UA.job');
 DeleteFile('C:\Program Files (x86)\eWYajPnOeUUP.exe', '64');
 DeleteFile('C:\Program Files (x86)\IqImakLWU\muUyQO.dll', '64');
 DeleteFile('C:\Program Files (x86)\NormalMap\695776405.exe', '64');
 DeleteFile('C:\Program Files (x86)\sJStiVKOXTbU2\GmcuKUJysQLOD.dll', '64');
 DeleteFile('C:\Program Files\NWQzZjdkZT\Mzk5NTk1.exe', '64');
 DeleteFile('C:\Program Files\Windows Mail\A3LCDA1S4S23O3AMJFV2O4QM\v&gWUejs_G.exe', '64');
 DeleteFile('C:\Users\USER\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\drivers\YjhjNDY5NzMzNmY0', '64');
 DeleteFile('C:\WINDOWS\zbbhdvyacr.zbb', '64');
 DeleteService('NWQzZjdkZT');
 DeleteService('YjhjNDY5NzMzNmY0');
 DeleteService('ZWE4MDg3MTZlYTliNmF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '2z00a21nk2r', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
aleks123 Новичок

aleks123

Опубликовано
  • Автор
Опубликовано

Re: quarantine.zip [KLAN-9379922832]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

 

CollectionLog-2018.12.29-17.46.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отчеты AdwCleaner[C01].txt и AdwCleaner[C02].txt тоже покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отчеты AdwCleaner[C01].txt и AdwCleaner[C02].txt тоже покажите

Нужны с символом [Cxx], а не [sxx].
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Polygens/ff.NT
FF Extension: (No Name) - C:\Program Files\Mozilla Firefox\browser\features\{502C4B1F-1CBB-431C-AAA1-7C0DDD40D595}.xpi [2018-12-29] [not signed]
CHR HKU\S-1-5-21-820626617-2701387307-158189667-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
2018-12-29 12:59 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\dmezz2lc1cq
2018-12-29 12:55 - 2018-12-29 13:26 - 000000000 ____D C:\Users\Все пользователи\BuHcEEPgNwocAWVB
2018-12-29 12:55 - 2018-12-29 13:26 - 000000000 ____D C:\ProgramData\BuHcEEPgNwocAWVB
2018-12-29 12:53 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\315rcvtev10
2018-12-29 12:51 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\auvqvhj4g50
2018-12-29 12:51 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\15wp2rz4uyp
2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\w4gsiy203gk
2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\l23y1w2g11n
2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\2idwmysa1ui
2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\21cv2sqruqs
2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\z0tljs455ec
2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\y1vmxyp0rpe
2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\xmp3lmzimpv
2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\e2m4atuyyva
2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\1z5zgb1e5dz
2018-12-29 12:40 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\wz5xozt4ftk
2018-12-29 12:39 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\p4ziulgugnx
2018-12-29 12:39 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\ebybxf0npha
2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\sp5nbn20kp5
2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\rsrjjnwm1lr
2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\4hwhgl2mw4o
2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\3x3ekv50fdy
2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\3ehszrwlkgg
2018-12-29 12:23 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\fhlfyladqi5
2018-12-29 12:22 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\v21frgft1ag
2018-12-29 12:22 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\uerqfcxnsc1
2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\wrtno22ctsx
2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\1axzvzmncu5
2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\0w4l5ff1h5g
2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\iopzhatkye3
2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\dsjniebhoat
2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\cx15300wtik
2018-12-29 11:31 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\yyifjfrduq5
2018-12-29 11:31 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\ycrmhtvyclh
2018-12-29 11:30 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\aabjaoqe2eb
2018-12-29 11:28 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\i0g1yylldzi
2018-12-29 11:28 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\gl4noq4klji
2018-12-29 11:28 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\ejyiv3zqxry
2018-12-29 11:27 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\lztkp4o2203
2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\jxktylz11f3
2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\iujehzzltsc
2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\0fmzwxe4vs1
2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\jvbys5pfla2
2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\5oemgbjkie4
2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\3eviao2v3a0
2018-12-29 11:09 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\xvtzlwyxhf5
2018-12-29 11:09 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\q4ik2g50jzt
2018-12-29 10:54 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\sn0nmtek1up
2018-12-29 10:54 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\q2u51v53opo
2018-12-29 10:54 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\zpvcvb5e5rt
2018-12-29 10:54 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\e33nr4ogzhs
2018-12-29 10:54 - 2018-12-29 10:54 - 000126464 _____ C:\Users\USER\AppData\Local\noah.dat
2018-12-29 10:54 - 2018-12-29 10:54 - 000070896 _____ C:\Users\USER\AppData\Local\Config.xml
2018-12-29 10:54 - 2018-12-29 10:54 - 000005568 _____ C:\Users\USER\AppData\Local\md.xml
2018-12-29 10:53 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\yes0xopct40
2018-12-29 10:53 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\ekwn0pbb0es
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: C:\Windows\Tasks\GWxQNBplqhHPwzb.job => C:\Program Files (x86)\IqImakLWU\muUyQO.dll
HKU\S-1-5-21-820626617-2701387307-158189667-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
FirewallRules: [{9600B946-0511-4AA2-A6E3-55B12CACC84D}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe No File
FirewallRules: [{4B9B2A09-8DF6-4A98-AFA9-CE148F76BA4A}] => (Allow) C:\Users\USER\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{D67061A0-42D9-48BC-B1CD-D63BB530EE7A}] => (Allow) C:\Program Files (x86)\Common Files\MyuADx.exe No File
FirewallRules: [{D7FF417F-8370-42DA-BA27-920FCA0D6798}] => (Allow) C:\WINDOWS\TqyyaagDeba.exe (Microsoft Corporation)
FirewallRules: [{0C494FDC-772B-4D7C-942B-F748BF0F5BE1}] => (Allow) C:\WINDOWS\rss\csrss.exe No File
FirewallRules: [{0DCB5C4F-167B-48C9-B10A-C6AD86B21C91}] => (Allow) C:\Users\USER\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{83A95F35-8555-45BA-92D4-ED0F500C7310}] => (Allow) C:\Users\USER\AppData\Local\Temp\csrss\lsa64.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проделайте завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления

LibreOffice 5.3.0.3 v.5.3.0.3 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

SearchAwesome v.13.14.1.309 (i1.0) Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

UmmyVideoDownloader v.1.8.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • mqxsn
      Чудом словил mem:trojan.win32.sepeh.gen и не могу удалить
      От mqxsn
      Здравствуйте, чудом поймал вирус. Касперский пытается вылечит но после удаления появляется снова.
      Логи не смог получить тк не нашел их.
    • ysomad
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      От ysomad
      Здравствуйте, каким-то образом словил Win32.SEPEH.gen. Касперский файлы лечит, но он появляется снова и прыгает по разным файлам.
       
       
      Принудительное сканирование этих файлов ничего не дает. KRD тоже ничего не нашел.
      Прикрепляю логи CollectionLog-2025.01.26-21.54.zip
       
      Заранее спасибо за помощь.
    • Aizekelinho
      MEM:Trojan.win32.SEPEH.gen
      От Aizekelinho
      Касперским был обнаружен вирус MEM:Trojan.win32.SEPEH.gen, после проверки не удаляется, вот логи
      CollectionLog-2025.01.16-19.02.zip
    • Дэннис
      [РЕШЕНО] скачал себе MEM:Trojan.Win32.SEPEH.gen
      От Дэннис
      помогите удалить, попалось с кряком фотошопа, не знаю что делать теперь(
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
×
×
  • Создать...