mem:trojan.win32.sepem.gen - не удается избавиться от вируса

[egora60j]

Здравствуйте!
 

При полном сканировании антивирусом Kasperskiy Total Security каждый раз находит вирус mem:trojan.win32.sepem.gen и предлагает вылечить с перезагрузкой. После перезагрузки при новом сканировании опять находит то же самое.
Проявляется вирус следующим образом: при использовании любого поисковика в любом браузере первые несколько ссылок абсолютно не относятся к теме поиска - выдает какой-то мусор на непонятном языке. Также компьютер стал работать медленнее.

Заранее спасибо!

CollectionLog-2019.01.04-00.42.zip

[regist]

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

2) От того. что вы поставили себе несколько антивирусов в итоге у вас ни один нормально не работает.

Avast Free Antivirus [2018/12/16 02:53:36]-->C:\Program Files\AVAST Software\Avast\Setup\Instup.exe /control_panel
Kaspersky Secure Connection [2019/01/03 05:19:30]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3} REMOVE=ALL
Kaspersky Secure Connection [20190103]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3}
Kaspersky Total Security [2019/01/03 05:18:57]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883} REMOVE=ALL
Kaspersky Total Security [20190103]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883}
McAfee LiveSafe [2018/12/17 23:24:10]-->C:\Program Files\McAfee\MSC\mcuihost.exe /body:misp://MSCJsRes.dll::uninstall.html /id:uninstall
McAfee WebAdvisor [2018/12/16 00:19:19]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe

Оставьте антивирус от одного вендора, остальное деинсталируйте.

3)

WindowsZip 1.0.0.0 [20181221]-->"C:\Program Files (x86)\WindowsZip\unins000.exe"
YoutubeAdBlock [2019/01/03 01:36:46]-->rundll32 "C:\Program Files (x86)\utzZkkanmIUn\BXtbhCvDfN.dll",#1
Zaxar Games Browser 4 [20190103]-->"C:\Program Files (x86)\Zaxar\unins000.exe"
Кнопка "Яндекс" на панели задач [2019/01/03 05:20:15]-->C:\Users\Иван\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2018/12/21 22:07:48]-->"C:\Users\Иван\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall
Программное обеспечение Intel® Chipset Device [2018/09/14 07:12:35]-->"C:\ProgramData\Package Cache\{eb0d4a41-3065-42b0-a868-c60d42d3ea98}\SetupChipset.exe"  /uninstall

это тоже деинсталируйте.

4) После этого соберите свежие логи, дочистим оставшееся.

[egora60j]

Не уверен, что файл загрузился в базу AVZ, кажется какие-то проблемы с сайтом.

Остальное сделано, высылаю логи:

https://www64.zippyshare.com/v/sHldJtth/file.html

Вот ссылка на лог AVZ

CollectionLog-2019.01.04-02.27.zip

[regist]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Иван\AppData\Local\Temp\fqzPPninXiCMEqqOs\VkGozxJbQlinCrkE\inyJpJI.dll', '');
 QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\cREIDkRiGowbWjB', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\DvwLFWwXutwLxJgmB2', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\iYMvCriySoqaGgPjbmR2', '');
 QuarantineFileF('C:\Program Files\NTg1MjA2Mj\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 SetServiceStart('D0C1B51A0F56', 4);
 StopService('D0C1B51A0F56');
 DeleteService('D0C1B51A0F56');
 QuarantineFile('C:\Windows\D0C1B51A0F56.sys','');
 DeleteFile('C:\Windows\D0C1B51A0F56.sys','64');
 DeleteFile('C:\Users\Иван\AppData\Local\Temp\fqzPPninXiCMEqqOs\VkGozxJbQlinCrkE\inyJpJI.dll', '64');
 DeleteFile('C:\Windows\wiforskqjfkjtje.wifo');
 DeleteFileMask('C:\Program Files\NTg1MjA2Mj\', '*', true);
 DeleteDirectory('C:\Program Files\NTg1MjA2Mj\');
 DeleteSchedulerTask('cREIDkRiGowbWjB');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

И

 

 

YoutubeAdBlock [2019/01/03 01:36:46]-->rundll32 "C:\Program Files (x86)\utzZkkanmIUn\BXtbhCvDfN.dll",#1

так и не деинсталировали. До выполнения скрипта деинсталируйте его. Изменено 4 января, 2019 пользователем regist

[egora60j]

При выполнении скрипта выдает:
"Ошибка: ')' expected в позиции 6:34"
Также возникают проблемы с удалением YoutubeAdBlock, с помощью "Установки и удаления программ" удалять отказывается, пишет "не найден указанный модуль"
Если искать через Проводник, то папки "utzZkkanmIUn" и вовсе нет.

Заранее спасибо!
 

[regist]

 

 

При выполнении скрипта выдает: "Ошибка: ')' expected в позиции 6:34"

исправил.

 

+ смените все пароли, после окончания лечения смените их ещё раз. У вас там вирус активен, который их ворует.

[egora60j]

Скрипт прошел, сообщение отправил по адресу newvirus@kaspersky.com, пока не ответили.

Воздействия вируса на поисковик больше не наблюдается.

С YoutubeAdBlock нужно что-то делать? Есть какие нибудь идеи как его можно удалить?

Высылаю логи. Спасибо!
 

CollectionLog-2019.01.04-21.50.zip

[regist]

Скрипт прошел, сообщение отправил по адресу newvirus@kaspersky.com, пока не ответили.

ответ робота процитируйте. А так обнаружен новый вирус в файле

 

d0c1b51a0f56.sys.vir_ - Trojan-PSW.Win64.Seikooc.h

[egora60j]

[KLAN-9405854449]

Your letter does not contain any files. They may have been deleted by your mail server antivirus as infected ones. Please try sending them again in an archive with the password “infected” (without quotes). You can also upload the files to any popular file hosting service or FTP server and send us the corresponding link.


Послал ссылку на файл в облаке, пока нет ответа

[regist]

1)

Multitimer version 1.0 [20190103]-->"C:\Program Files (x86)\Multitimer\unins000.exe"
DiskWMpower version 1.0 [20190103]-->"C:\Program Files (x86)\DiskWMpower\unins000.exe"

эти программы вам знакомы? Советую деинсталировать.
А также деинсталируйте

SchedTaskSetup [20190103]-->"C:\Users\Иван\AppData\Roaming\SchedTaskSetup\unins000.exe"
SearchAwesome [2019/01/03 01:36:58]-->C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
WhiteClick LLC [20190103]-->MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

и ещё эти программы сами установили?

foldershare [2019-01-03]-->"C:\Program Files (x86)\foldershare\uninstaller.exe" /uninstall
Голосовой помощник Алиса [20190103]-->MsiExec.exe /I{90D204FB-2443-46AC-97CE-E72F07F8D350}

2) Удалите хвосты от avast.

3) "Пофиксите" в HijackThis:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_190102&q={searchTerms} - Ad-Aware SecureSearch
O4 - HKCU\..\StartupApproved\Run: [1476021] = C:\Users\Иван\AppData\Roaming\qrsualtihmi\mip3mcvxf01.exe /VERYSILENT (file missing) (2019/01/03)
O4 - HKCU\..\StartupApproved\Run: [5431708] = C:\Users\Иван\AppData\Roaming\nn3jvefayxw\ealoelwr3hl.exe /VERYSILENT (file missing) (2019/01/03)
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] = C:\Users\Иван\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing) (2019/01/03)
O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2019/01/03)
O15 - Trusted Zone: http://webcompanion.com
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[egora60j]

Удалил все, кроме WhiteClick LLC, опять таки, непонятно как удалять.

Хвосты, вроде бы, удалил.

Пофиксил.

Файл AdwCleaner прикрепляю.
 

[KLAN-9406072540]

 

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
https://www13.zippyshare.com/v/n1pkE4ib/file.html

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

 

AdwCleanerS00.txt

[regist]

 

 

Удалил все

и как понимаю всё ставили не сами?

 

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[egora60j]

Да, ставил не сам.

С00 нет, появился только С01, прикрепляю.

AdwCleanerC01.txt

[regist]

Соберите свежие логи Автологером.

[egora60j]

Высылаю.

CollectionLog-2019.01.05-23.27.zip