Вирус Win32.SEPEH.gen

[Игорь С.]

Поймал вирус видимо с чита  MEM.Trojan.Win32.SEPEH.gen прописался в системной памяти, все попытки лечения безполезны. Каких либо проблем не заметил, но хотелось бы уничтожить. Логи скинул

CollectionLog-2019.02.21-15.01.zip

Изменено 21 февраля, 2019 пользователем Игорь С.

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeFinder

SearchAwesome

WhiteClick

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('OTU4MDdiNDY1Mj');
 StopService('OWY0Nzc0M2VmOT');
 QuarantineFile('C:\Program Files\OTU4MDdiNDY1Mj\ZDQ2MjcyNWYwM2FkZW.exe', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Zerair.dll', '');
 QuarantineFile('C:\Users\Hunter\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '');
 QuarantineFile('C:\Users\Hunter\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\OWY0Nzc0M2VmOT', '');
 DeleteSchedulerTask('MSI');
 DeleteSchedulerTask('Pbrowserupd');
 DeleteFile('C:\Program Files\OTU4MDdiNDY1Mj\ZDQ2MjcyNWYwM2FkZW.exe', '64');
 DeleteFile('C:\ProgramData\Voyasollam\Zerair.dll', '32');
 DeleteFile('C:\Users\Hunter\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '64');
 DeleteFile('C:\Users\Hunter\AppData\Roaming\Microsoft\msi.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\OWY0Nzc0M2VmOT', '64');
 DeleteService('OTU4MDdiNDY1Mj');
 DeleteService('OWY0Nzc0M2VmOT');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Ярлыки

C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

[Игорь С.]

Две проги не удаляются SearchAwesome  WhiteClick

 

KLAN-9654731626

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
ZDQ2MjcyNWYwM2FkZW.exe
Pbrowserupd.exe
OWY0Nzc0M2VmOT

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2019.02.22-11.31.zip

ClearLNK-2019.02.22_11.03.24.log

Изменено 22 февраля, 2019 пользователем Игорь С.

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Игорь С.]

Ок

AdwCleanerS04.txt

[Sandor]

Лог очистки AdwCleaner[C01].txt покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Игорь С.]

Лог очистки

AdwCleanerS01.txt

[regist]

@Игорь С., нужен файл с буквой

 

 

AdwCleaner[C01].txt

а вы опять лог сканирования прикрепили.

Изменено 22 февраля, 2019 пользователем regist

[Игорь С.]

Хай.

AdwCleanerC01.txt

Addition.txt

FRST.txt

Изменено 25 февраля, 2019 пользователем Игорь С.

[Sandor]

Две проги не удаляются SearchAwesome  WhiteClick

Удалите их принудительно через Geek Uninstaller

 

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  AppInit_DLLs: C:\ProgramData\Voyasollam\DamRemtip.dll => No File
  AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Zerair.dll => No File
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  FF user.js: detected! => C:\Users\Hunter\AppData\Roaming\Mozilla\Firefox\Profiles\6xbfvkd7.default\user.js [2017-06-30]
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=812205
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812205"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B1F8A5B6F-4CBC-4415-88FD-EC7C133C9C66%7D&gp=812205
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  C:\Users\Hunter\AppData\Local\Google\Chrome\User Data\Default\Extensions\iepoegkaoeljnbhagabakjodgpfniimo
  C:\Users\Hunter\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhkfljnmnhfjmkfjhibcojmfekipcpcp
  C:\Users\Hunter\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhkhghambhobggbogllhhijapjlahccd
  C:\Users\Hunter\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgpfefbdjccbdccnoaeliehbpdfehblb
  CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
  R1 0D502AC27946; C:\Windows\0D502AC27946.sys [621928 2019-02-15] (韵羽健康管理咨询（上海）有限公司 -> VxDriver)
  2019-02-15 15:50 - 2019-02-22 11:10 - 000000000 ____D C:\Users\Hunter\AppData\Local\Pbrowserupd
  2019-02-15 14:49 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\QXR3FOORUD
  2019-02-15 14:49 - 2019-02-15 16:08 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\ymsoguknapd
  2019-02-15 14:49 - 2019-02-15 16:01 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\zk2m1ooztti
  2019-02-15 14:49 - 2019-02-15 15:59 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\chyzadaca4p
  2019-02-15 14:48 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\F5LHGE3R29
  2019-02-15 14:37 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\sozgwgn5imp
  2019-02-15 14:37 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\psghtmi2tr2
  2019-02-15 14:37 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\ey0vqe24jk2
  2019-02-15 14:37 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\PVCB4BASF5
  2019-02-15 14:37 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\JPRY1DSNNF
  2019-02-15 14:35 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\bjjdnlxfnjy
  2019-02-15 14:35 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\anyjcony04x
  2019-02-15 14:35 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\SNZWHEZOMN
  2019-02-15 14:35 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\59AFZQQ3XQ
  2019-02-15 14:26 - 2019-02-22 11:10 - 000000000 ____D C:\Program Files\OTU4MDdiNDY1Mj
  2019-02-15 14:26 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\5mjglcouvex
  2019-02-15 14:26 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\Z3J2OT145T
  2019-02-15 14:26 - 2019-02-15 14:26 - 000621928 _____ (VxDriver) C:\Windows\0D502AC27946.sys
  2019-02-15 14:25 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\xslxyb5qgkj
  2019-02-15 14:25 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\q43hniovia1
  2019-02-15 14:25 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\0lzswxov5th
  2019-02-15 14:25 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\RMQ75D2YXG
  2019-02-15 14:25 - 2019-02-15 14:25 - 000126464 _____ C:\Users\Hunter\AppData\Local\noah.dat
  2019-02-15 14:25 - 2019-02-15 14:25 - 000070896 _____ C:\Users\Hunter\AppData\Local\Config.xml
  2019-02-15 14:25 - 2019-02-15 14:25 - 000005568 _____ C:\Users\Hunter\AppData\Local\md.xml
  2019-02-15 14:24 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\gy25lwpxern
  2019-02-15 14:24 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\V4CKBUX2EN
  2019-02-15 14:24 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\0WRSQ2NZC9
  2019-02-15 14:24 - 2019-02-15 14:24 - 000722944 _____ C:\Users\Hunter\AppData\Local\sha.db
  2019-02-15 14:24 - 2019-02-15 14:24 - 000140800 _____ C:\Users\Hunter\AppData\Local\installer.dat
  2019-02-15 14:24 - 2019-02-15 14:24 - 000003138 _____ C:\Windows\System32\Tasks\{945DA23E-95CC-4EC3-9066-1B6D84D0A116}
  2019-02-15 14:23 - 2019-02-15 17:27 - 000000000 ____D C:\Users\Hunter\AppData\Roaming\tpxtvm4cr0o
  2019-02-15 14:23 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files\BGJEXHFH5P
  2019-02-15 14:23 - 2019-02-15 17:27 - 000000000 ____D C:\Program Files (x86)\gfhtlgfk3jm
  Task: {7EEB4A4C-BC56-4E11-B492-C0403C51F315} - \initwin -> No File <==== ATTENTION
  Task: {B42B1ADE-0148-46A4-8031-524A2FDA0390} - \Microsoft\QuickLaunch -> No File <==== ATTENTION
  Task: {EAE91B89-15D7-415F-9AA7-D5DB7BBF301F} - \Microsoft\Windows\Starter -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Игорь С.]

Удалил 2 эти проги принудительно.

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Игорь С.]

всё так же

А не всё удалил. Урааа, спасибо

Изменено 26 февраля, 2019 пользователем Игорь С.

[Sandor]

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.