Перейти к содержанию

mem:trojan.win32.sepem.gen - не удается избавиться от вируса


Рекомендуемые сообщения

Здравствуйте!

 

 

 


WhiteClick LLC, опять таки, непонятно как удалять.
а если windows + r вставить
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

нажать Enter, то что происходит?

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('ODQ1ODYxNGI1M', 4);
 SetServiceStart('OTJmZDU4MTNlNz', 4);
 StopService('ODQ1ODYxNGI1M');
 StopService('OTJmZDU4MTNlNz');
 QuarantineFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '');
 QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '');
 DeleteFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '64');
 DeleteFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '64');
 DeleteService('ODQ1ODYxNGI1M');
 DeleteService('OTJmZDU4MTNlNz');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ Включите обнаружение нежелательных программ, обновите базы.

Ссылка на сообщение
Поделиться на другие сайты

WhiteClick LLC с помощью win + r не находится, а если ввести MsiExec.exe открывается установщик Windows, в котором ничего нельзя сделать, кроме как закрыть его.

Ответ от newvirus такой же:

[KLAN-9414663884]

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
https://www55.zippyshare.com/v/3QMZMsqy/file.html

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Высылаю отчет и логи.

ClearLNK-2019.01.06_22.24.16.log

CollectionLog-2019.01.06-22.38.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


WhiteClick LLC с помощью win + r не находится
оно и не должно там находиться.

 

 


а если ввести MsiExec.exe
надо вводить не только MsiExec.exe а скопировать и вставить целиком ту строку, которыю вам написал. Повторюсь скопируйте и вставьте туда
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

после этого нажмите Enter.


 

 


The specified URLs have been scanned with the Kaspersky Security Network cloud service.
и в карантин надо посылать не ссылки, а файлы. Ваше письмо проверяет робот и по ссылке с какого-то обменника он ничего не скачает.

На файл в карантине добавили детект not-a-virus:AdWare.Win32.Agent.xxdyny
жду пока выполните указанные действия через windows + R и отпишитесь о результате.

Ссылка на сообщение
Поделиться на другие сайты

Gmail не дает послать файл с вирусом, карантин ответил, что можно послать ссылку на обменник.
Хорошо, попробую с другой почты, пришлют ответ - отпишусь.
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.


Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
OTJmZDU4MTNlNz - not-a-virus:AdWare.Win32.Agent.xxdyny

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Ссылка на сообщение
Поделиться на другие сайты

MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.

тогда попробуем по другому.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Ссылка на сообщение
Поделиться на другие сайты

1) Деинсталируйте SearchAwesome

2) Удалите остатки MCAFEE https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    uidel  MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}
    exec32 C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
    uidel  C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
    ;---------command-block---------
    zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
    delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\COMAPIPROXY.DLL
    delref %SystemRoot%\TEMP\CB763E68-A715-4F39-8DBB-19C95C2EBB8A
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    apply
    
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



4) Что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

С удалением SearchAwesome были проблемы, но после выполнения скрипта он исчез.

Архив отправил, имя карантина: 
2019.01.08_ZOO_2019-01-08_21-02-15_2ff74893b5595635368e5f765b799014.7z

По поводу проблемы: WhiteClick LLC на компьютере больше нет, видимых воздействий вирусов на компьютер, вроде как, не наблюдается.

 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Часто используемые уязвимости не найдены.

При этом я обнаружил новую проблему: часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается. Это может быть связано с вирусами? Утилиты пока не удалял, жду ответа на этот вопрос. Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

 

 


часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается.
проверьте мышку, клавиатуру. Может у вас кнопка где залипает.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...