Удалить MEM:Trojan.Win32.SEPEM.gen

[aleks123]

Здравствуйте!

Касперский не включался. Dr.Web CureIt обнаружил MEM:Trojan.Win32.SEPEM.gen. Лечение не помогает. Правда Касперский включился. Диагностика затруднена невозможностью выхода в инет. Вирус не дает войти в браузер.

CollectionLog-2018.12.29-15.04.zip

Изменено 29 декабря, 2018 пользователем aleks123

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('YjhjNDY5NzMzNmY0');
 StopService('ZWE4MDg3MTZlYTliNmF');
 QuarantineFile('C:\Program Files (x86)\eWYajPnOeUUP.exe', '');
 QuarantineFile('C:\Program Files (x86)\IqImakLWU\muUyQO.dll', '');
 QuarantineFile('C:\Program Files (x86)\NormalMap\695776405.exe', '');
 QuarantineFile('C:\Program Files (x86)\sJStiVKOXTbU2\GmcuKUJysQLOD.dll', '');
 QuarantineFile('C:\Program Files\NWQzZjdkZT\Mzk5NTk1.exe', '');
 QuarantineFile('C:\Program Files\Windows Mail\A3LCDA1S4S23O3AMJFV2O4QM\v&gWUejs_G.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\YjhjNDY5NzMzNmY0', '');
 QuarantineFile('C:\WINDOWS\zbbhdvyacr.zbb', '');
 DeleteSchedulerTask('{9EC63451-E5EC-3FF7-F1CA-5CBD04280F96}');
 DeleteSchedulerTask('{BB0582E0-7153-3F60-34A1-8AC88CABBF6F}');
 DeleteSchedulerTask('{CDDD0597-7DCF-9456-4DD7-61B721C31F72}');
 DeleteSchedulerTask('37aa96a4-41f8-4a39-83ef-2ffafb13a5b1');
 DeleteSchedulerTask('a1c35c87-6890-4184-9a00-e3670dd5182e');
 DeleteSchedulerTask('ElementsBrowser Update');
 DeleteSchedulerTask('GlnbYwYgBEZMGa');
 DeleteSchedulerTask('GWxQNBplqhHPwzb');
 DeleteSchedulerTask('GWxQNBplqhHPwzb2');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001Core');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001Core.job');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001UA');
 DeleteSchedulerTask('OrbitumUpdateTaskUserS-1-5-21-820626617-2701387307-158189667-1001UA.job');
 DeleteFile('C:\Program Files (x86)\eWYajPnOeUUP.exe', '64');
 DeleteFile('C:\Program Files (x86)\IqImakLWU\muUyQO.dll', '64');
 DeleteFile('C:\Program Files (x86)\NormalMap\695776405.exe', '64');
 DeleteFile('C:\Program Files (x86)\sJStiVKOXTbU2\GmcuKUJysQLOD.dll', '64');
 DeleteFile('C:\Program Files\NWQzZjdkZT\Mzk5NTk1.exe', '64');
 DeleteFile('C:\Program Files\Windows Mail\A3LCDA1S4S23O3AMJFV2O4QM\v&gWUejs_G.exe', '64');
 DeleteFile('C:\Users\USER\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\drivers\YjhjNDY5NzMzNmY0', '64');
 DeleteFile('C:\WINDOWS\zbbhdvyacr.zbb', '64');
 DeleteService('NWQzZjdkZT');
 DeleteService('YjhjNDY5NzMzNmY0');
 DeleteService('ZWE4MDg3MTZlYTliNmF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '2z00a21nk2r', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OMEWPRODUCT_', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[aleks123]

Re: quarantine.zip [KLAN-9379922832]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

 

CollectionLog-2018.12.29-17.46.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[aleks123]

Удалил гугл хром, скачал и установил по новому. стал возможен выход в интернет. 

AdwCleanerS03.txt

[Sandor]

Отчеты AdwCleaner[C01].txt и AdwCleaner[C02].txt тоже покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[aleks123]

выполнил

AdwCleanerS01.txt

AdwCleanerS02.txt

Addition_29-12-2018 18.59.57.txt

FRST_29-12-2018 18.59.57.txt

[Sandor]

Отчеты AdwCleaner[C01].txt и AdwCleaner[C02].txt тоже покажите

Нужны с символом [Cxx], а не [sxx].

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Polygens/ff.NT
  FF Extension: (No Name) - C:\Program Files\Mozilla Firefox\browser\features\{502C4B1F-1CBB-431C-AAA1-7C0DDD40D595}.xpi [2018-12-29] [not signed]
  CHR HKU\S-1-5-21-820626617-2701387307-158189667-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
  2018-12-29 12:59 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\dmezz2lc1cq
  2018-12-29 12:55 - 2018-12-29 13:26 - 000000000 ____D C:\Users\Все пользователи\BuHcEEPgNwocAWVB
  2018-12-29 12:55 - 2018-12-29 13:26 - 000000000 ____D C:\ProgramData\BuHcEEPgNwocAWVB
  2018-12-29 12:53 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\315rcvtev10
  2018-12-29 12:51 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\auvqvhj4g50
  2018-12-29 12:51 - 2018-12-29 13:22 - 000000000 ____D C:\Users\USER\AppData\Roaming\15wp2rz4uyp
  2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\w4gsiy203gk
  2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\l23y1w2g11n
  2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\2idwmysa1ui
  2018-12-29 12:51 - 2018-12-29 13:21 - 000000000 ____D C:\Users\USER\AppData\Roaming\21cv2sqruqs
  2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\z0tljs455ec
  2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\y1vmxyp0rpe
  2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\xmp3lmzimpv
  2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\e2m4atuyyva
  2018-12-29 12:40 - 2018-12-29 13:20 - 000000000 ____D C:\Users\USER\AppData\Roaming\1z5zgb1e5dz
  2018-12-29 12:40 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\wz5xozt4ftk
  2018-12-29 12:39 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\p4ziulgugnx
  2018-12-29 12:39 - 2018-12-29 13:19 - 000000000 ____D C:\Users\USER\AppData\Roaming\ebybxf0npha
  2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\sp5nbn20kp5
  2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\rsrjjnwm1lr
  2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\4hwhgl2mw4o
  2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\3x3ekv50fdy
  2018-12-29 12:23 - 2018-12-29 13:18 - 000000000 ____D C:\Users\USER\AppData\Roaming\3ehszrwlkgg
  2018-12-29 12:23 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\fhlfyladqi5
  2018-12-29 12:22 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\v21frgft1ag
  2018-12-29 12:22 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\uerqfcxnsc1
  2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\wrtno22ctsx
  2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\1axzvzmncu5
  2018-12-29 11:32 - 2018-12-29 13:17 - 000000000 ____D C:\Users\USER\AppData\Roaming\0w4l5ff1h5g
  2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\iopzhatkye3
  2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\dsjniebhoat
  2018-12-29 11:32 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\cx15300wtik
  2018-12-29 11:31 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\yyifjfrduq5
  2018-12-29 11:31 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\ycrmhtvyclh
  2018-12-29 11:30 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\aabjaoqe2eb
  2018-12-29 11:28 - 2018-12-29 13:16 - 000000000 ____D C:\Users\USER\AppData\Roaming\i0g1yylldzi
  2018-12-29 11:28 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\gl4noq4klji
  2018-12-29 11:28 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\ejyiv3zqxry
  2018-12-29 11:27 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\lztkp4o2203
  2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\jxktylz11f3
  2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\iujehzzltsc
  2018-12-29 11:21 - 2018-12-29 13:15 - 000000000 ____D C:\Users\USER\AppData\Roaming\0fmzwxe4vs1
  2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\jvbys5pfla2
  2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\5oemgbjkie4
  2018-12-29 11:10 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\3eviao2v3a0
  2018-12-29 11:09 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\xvtzlwyxhf5
  2018-12-29 11:09 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\q4ik2g50jzt
  2018-12-29 10:54 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\sn0nmtek1up
  2018-12-29 10:54 - 2018-12-29 13:14 - 000000000 ____D C:\Users\USER\AppData\Roaming\q2u51v53opo
  2018-12-29 10:54 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\zpvcvb5e5rt
  2018-12-29 10:54 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\e33nr4ogzhs
  2018-12-29 10:54 - 2018-12-29 10:54 - 000126464 _____ C:\Users\USER\AppData\Local\noah.dat
  2018-12-29 10:54 - 2018-12-29 10:54 - 000070896 _____ C:\Users\USER\AppData\Local\Config.xml
  2018-12-29 10:54 - 2018-12-29 10:54 - 000005568 _____ C:\Users\USER\AppData\Local\md.xml
  2018-12-29 10:53 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\yes0xopct40
  2018-12-29 10:53 - 2018-12-29 13:13 - 000000000 ____D C:\Users\USER\AppData\Roaming\ekwn0pbb0es
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: C:\Windows\Tasks\GWxQNBplqhHPwzb.job => C:\Program Files (x86)\IqImakLWU\muUyQO.dll
  HKU\S-1-5-21-820626617-2701387307-158189667-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  FirewallRules: [{9600B946-0511-4AA2-A6E3-55B12CACC84D}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe No File
  FirewallRules: [{4B9B2A09-8DF6-4A98-AFA9-CE148F76BA4A}] => (Allow) C:\Users\USER\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
  FirewallRules: [{D67061A0-42D9-48BC-B1CD-D63BB530EE7A}] => (Allow) C:\Program Files (x86)\Common Files\MyuADx.exe No File
  FirewallRules: [{D7FF417F-8370-42DA-BA27-920FCA0D6798}] => (Allow) C:\WINDOWS\TqyyaagDeba.exe (Microsoft Corporation)
  FirewallRules: [{0C494FDC-772B-4D7C-942B-F748BF0F5BE1}] => (Allow) C:\WINDOWS\rss\csrss.exe No File
  FirewallRules: [{0DCB5C4F-167B-48C9-B10A-C6AD86B21C91}] => (Allow) C:\Users\USER\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
  FirewallRules: [{83A95F35-8555-45BA-92D4-ED0F500C7310}] => (Allow) C:\Users\USER\AppData\Local\Temp\csrss\lsa64.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[aleks123]

выполнил

 

 

AdwCleanerC01.txt

AdwCleanerC02.txt

Fixlog_29-12-2018 19.19.52.txt

Изменено 29 декабря, 2018 пользователем aleks123

[Sandor]

Что сейчас с проблемой?

[aleks123]

тестирую. пока нормально

[Sandor]

Проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[aleks123]

Проблема решена. Спасибо.

 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления

LibreOffice 5.3.0.3 v.5.3.0.3 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

SearchAwesome v.13.14.1.309 (i1.0) Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

UmmyVideoDownloader v.1.8.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Рекомендации после удаления вредоносного ПО