Перейти к содержанию

mem:trojan.win32.sepem.gen - не удается избавиться от вируса


egora60j

Рекомендуемые сообщения

Здравствуйте!

 

 

 


WhiteClick LLC, опять таки, непонятно как удалять.
а если windows + r вставить
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

нажать Enter, то что происходит?

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('ODQ1ODYxNGI1M', 4);
 SetServiceStart('OTJmZDU4MTNlNz', 4);
 StopService('ODQ1ODYxNGI1M');
 StopService('OTJmZDU4MTNlNz');
 QuarantineFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '');
 QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '');
 DeleteFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '64');
 DeleteFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '64');
 DeleteService('ODQ1ODYxNGI1M');
 DeleteService('OTJmZDU4MTNlNz');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ Включите обнаружение нежелательных программ, обновите базы.

Ссылка на комментарий
Поделиться на другие сайты

WhiteClick LLC с помощью win + r не находится, а если ввести MsiExec.exe открывается установщик Windows, в котором ничего нельзя сделать, кроме как закрыть его.

Ответ от newvirus такой же:

[KLAN-9414663884]

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
https://www55.zippyshare.com/v/3QMZMsqy/file.html

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Высылаю отчет и логи.

ClearLNK-2019.01.06_22.24.16.log

CollectionLog-2019.01.06-22.38.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


WhiteClick LLC с помощью win + r не находится
оно и не должно там находиться.

 

 


а если ввести MsiExec.exe
надо вводить не только MsiExec.exe а скопировать и вставить целиком ту строку, которыю вам написал. Повторюсь скопируйте и вставьте туда
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

после этого нажмите Enter.


 

 


The specified URLs have been scanned with the Kaspersky Security Network cloud service.
и в карантин надо посылать не ссылки, а файлы. Ваше письмо проверяет робот и по ссылке с какого-то обменника он ничего не скачает.

На файл в карантине добавили детект not-a-virus:AdWare.Win32.Agent.xxdyny
жду пока выполните указанные действия через windows + R и отпишитесь о результате.

Ссылка на комментарий
Поделиться на другие сайты

Gmail не дает послать файл с вирусом, карантин ответил, что можно послать ссылку на обменник.
Хорошо, попробую с другой почты, пришлют ответ - отпишусь.
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.


Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
OTJmZDU4MTNlNz - not-a-virus:AdWare.Win32.Agent.xxdyny

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Ссылка на комментарий
Поделиться на другие сайты

MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.

тогда попробуем по другому.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Ссылка на комментарий
Поделиться на другие сайты

1) Деинсталируйте SearchAwesome

2) Удалите остатки MCAFEE https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    uidel  MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}
    exec32 C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
    uidel  C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
    ;---------command-block---------
    zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
    delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\COMAPIPROXY.DLL
    delref %SystemRoot%\TEMP\CB763E68-A715-4F39-8DBB-19C95C2EBB8A
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    apply
    
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



4) Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

С удалением SearchAwesome были проблемы, но после выполнения скрипта он исчез.

Архив отправил, имя карантина: 
2019.01.08_ZOO_2019-01-08_21-02-15_2ff74893b5595635368e5f765b799014.7z

По поводу проблемы: WhiteClick LLC на компьютере больше нет, видимых воздействий вирусов на компьютер, вроде как, не наблюдается.

 

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Часто используемые уязвимости не найдены.

При этом я обнаружил новую проблему: часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается. Это может быть связано с вирусами? Утилиты пока не удалял, жду ответа на этот вопрос. Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

 

 


часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается.
проверьте мышку, клавиатуру. Может у вас кнопка где залипает.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Depos1t
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • ggwlzxz
      От ggwlzxz
      И так недавно подхватил оказывается сложный криптомайнер «taskhostw». На свой компьютер,  честно не знаю как избавиться от него. Качал аваст и дрвеб ничего не нашла ни одна прога. Могу пойти в дс. 
      И да вирус показался мне 1 раз когда только загружал диспетчер задач.

×
×
  • Создать...