Перейти к содержанию
noVel

Неизлечимый MEM:Trojan.Win32.SEPEH.gen

Рекомендуемые сообщения

Здравствуйте. Нужна помощь в удалении трояна, так как KES вылечить его не может.

 
Результат:     Обнаружено: MEM:Trojan.Win32.SEPEH.gen
Объект:     System Memory
Причина:     Экспертный анализ
 

Установленный Kaspersky Endpoint Security 11.1.1.126 (лицензия) постоянно находит данный троян в памяти и включает "Активное лечение" но это не даёт результата.

Полную проверку на максимальных настройках проводили, результата не даёт, т.е. даёт опять его обнаружение в памяти и новое активное лечение и так так до сих пор.

 

1. Данным трояном заражено 14 компьютеров. Поэтому возникает вопрос перед началом лечения, возможно данный троян распространяется по локальной сети ? Так как лечить сразу все 14 компьютером нет возможности. Т.е.Отключать сеть ?

 

2. И перед сбором логов, что делать с Kaspersky Endpoint Security. Как ловить данного трояна, если Kaspersky Endpoint Security молчит значит его нет в памяти, а когда он по неизвестным причинам появляется, его уже перехватывает Kaspersky Endpoint Security и начинает лечить.

 

3. На компьютере установлен Netop School 6.23, не может быть эта реакция на данное ПО и просто ложным ?

 

В общем, чего делать ? Первый раз в жизни столкнулся с тем что антивирусник Kaspersky не может победить :-(

Изменено пользователем noVel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

И перед сбором логов, что делать с Kaspersky Endpoint Security

Если есть возможность отключить, отключите. Если нет, собирайте с включенным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было разное расположение запуска  AdwCleaner  поэтому два варианта, так как размер оказался разный.  Главный AdwCleanerS01.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено пользователем noVel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

Ничего уже не понимаю. Отчёты очистили, локальную проверку запускаю, ничего не находит. Запуская полную проверку через сервер администрирования находит ...

В техподдержку написал.

2b3b11a42af7.jpg

Изменено пользователем noVel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В техподдержку написал

Результат здесь сообщите, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Результат здесь сообщите, пожалуйста.

Срабатывание оказалось ложным. 

Несколько раз отсылали трассировки, потом обновляли базы, мы проверяли. Вот с понедельника полёт нормальный :)

 

[РЕШЕНО]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.