Троян в памяти Win32.SEPEM.gen

[Sandor]

Посмотрим ещё так:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[atatarchenko]

сделал.

AutorunsVTchecker еще работает

BUHGALTER_2019-10-30_16-38-45_v4.1.8.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
  ;Target OS: NTv6.1
  v400c
  ;---------command-block---------
  delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\HOMEPAGE@MAIL.RU
  delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\SEARCH@MAIL.RU
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.107\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
  apply
  
  deltmp
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

[atatarchenko]

лог во вложении

меня смущает vbc.exe 

2019-10-30_17-24-27_log.txt

[Sandor]

Файл нормальный. Обнаружение продолжается?

[atatarchenko]

команды не было) - сейчас запущу

да, вирус на месте!

[Sandor]

Обновите версию антивируса до актуальной и тоже проверьте. Результат сообщите.

[atatarchenko]

удалил, с сохранением информации о лицензии. установил, обновил базы.

вирус на месте...

[Sandor]

Соберите, пожалуйста, Автологером свежий CollectionLog.

[atatarchenko]

готово

CollectionLog-2019.10.30-22.39.zip

[Sandor]

удалил, с сохранением информации о лицензии. установил, обновил базы

Ключ или код активации, надеюсь, у вас есть. Сделайте так:

Удалите антивирус с помощью утилиты из безопасного режима.

Установите заново и проверьте.

[atatarchenko]

Сделал. Без изменений - вирус на месте.

[Sandor]

Покажите свежий отчет сканирования AdwCleaner (с символом S).

[atatarchenko]

сделал

AdwCleanerS02.txt

[Sandor]

Соберите отчет GSI.