Неизлечимый MEM:Trojan.Win32.SEPEH.gen

[noVel]

Здравствуйте. Нужна помощь в удалении трояна, так как KES вылечить его не может.

 

Результат:     Обнаружено: MEM:Trojan.Win32.SEPEH.gen

Объект:     System Memory

Причина:     Экспертный анализ

 

Установленный Kaspersky Endpoint Security 11.1.1.126 (лицензия) постоянно находит данный троян в памяти и включает "Активное лечение" но это не даёт результата.

Полную проверку на максимальных настройках проводили, результата не даёт, т.е. даёт опять его обнаружение в памяти и новое активное лечение и так так до сих пор.

 

1. Данным трояном заражено 14 компьютеров. Поэтому возникает вопрос перед началом лечения, возможно данный троян распространяется по локальной сети ? Так как лечить сразу все 14 компьютером нет возможности. Т.е.Отключать сеть ?

 

2. И перед сбором логов, что делать с Kaspersky Endpoint Security. Как ловить данного трояна, если Kaspersky Endpoint Security молчит значит его нет в памяти, а когда он по неизвестным причинам появляется, его уже перехватывает Kaspersky Endpoint Security и начинает лечить.

 

3. На компьютере установлен Netop School 6.23, не может быть эта реакция на данное ПО и просто ложным ?

 

В общем, чего делать ? Первый раз в жизни столкнулся с тем что антивирусник Kaspersky не может победить :-(

Изменено 30 сентября, 2019 пользователем noVel

[Sandor]

Здравствуйте!

 

И перед сбором логов, что делать с Kaspersky Endpoint Security

Если есть возможность отключить, отключите. Если нет, собирайте с включенным.

[noVel]

Отчёт Автоматического сборщика логов

CollectionLog-2019.09.30-16.51.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[noVel]

Было разное расположение запуска  AdwCleaner  поэтому два варианта, так как размер оказался разный.  Главный AdwCleanerS01.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено 30 сентября, 2019 пользователем noVel

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[noVel]

Отчёты

FRST.txt

Addition.txt

[Sandor]

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

[noVel]

В антивирусе очистите отчеты и события. Сделайте ещё раз полную проверку.

По логам - ничего плохого не видно.

 

Параллельно можете создать запрос в тех-поддержку.

Ничего уже не понимаю. Отчёты очистили, локальную проверку запускаю, ничего не находит. Запуская полную проверку через сервер администрирования находит ...

В техподдержку написал.

Изменено 3 октября, 2019 пользователем noVel

[Sandor]

В техподдержку написал

Результат здесь сообщите, пожалуйста.

[noVel]

 

 

Результат здесь сообщите, пожалуйста.

Срабатывание оказалось ложным. 

Несколько раз отсылали трассировки, потом обновляли базы, мы проверяли. Вот с понедельника полёт нормальный :)

 

[РЕШЕНО]

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.