Троян в памяти Win32.SEPEM.gen

[atatarchenko]

сделал

GSI6_BUHGALTER_Бухгалтер_10_31_2019_09_58_19.zip

[Sandor]

Полагаю, вам нужно обратиться в поддержку ЛК.

Укажите там эту тему или сразу прикрепите отчёт GSI.

 

Результат сообщите здесь, пожалуйста.

[regist]

 

 

Полагаю, вам нужно обратиться в поддержку ЛК. Укажите там эту тему или сразу прикрепите отчёт GSI.

а также сразу прикрепите трассировки антивируса с вопроизведением проблемы.

[atatarchenko]

 

Полагаю, вам нужно обратиться в поддержку ЛК. Укажите там эту тему или сразу прикрепите отчёт GSI.

а также сразу прикрепите трассировки антивируса с вопроизведением проблемы.

 

сначала попросили скриншот с сообщением о вирусе, потом закрыли инцидент с рекомендациями:

 

Исходя из полученной информации мы можем предложить Вам следующее решение:

 

Уважаемый пользователь, благодарим вас за предоставленный скриншот.

 

1. Пожалуйста, выполните очистку временных папок следующим образом:

 

1) Нажмите Пуск > найдите программу "Выполнить" или нажмите на сочетание клавиш WIN+R;

2) В окно программы введите следующую команду и нажмите на клавишу Enter:

%SystemRoot%\Temp\

3) В открывшейся папке удалите все файлы;

4) Аналогичное удаление файлов необходимо повторить для папки %USERPROFILE%\AppData\Local\Temp\

5) Если некоторые файлы не удаляются, ничего страшного, пропустите их.

 

У нас, к тому же, есть иллюстрированная инструкция по ссылке на случай, если данный вариант вызвал затруднения: http://support.kaspersky.ru/general/windows/1161

 

2. Пожалуйста, выполните проверку целостности системных файлов следующим образом:

- Инструкции для Windows Vista/7/8/10: https://support.microsoft.com/ru-ru/kb/929833

 

1) Откройте папку C:\Windows\system32\

2) Найдите файл cmd.exe, щёлкните по нему правой кнопкой мыши и выберите "Запустить от имени администратора...";

3) Запустится "Командная строка" с правами администратора.

4) В запущенном окне "Командной строки" введите команду:

 

sfc /scannow

 

Обратите внимание! Между sfc и /scannow есть пробел.

 

Вторым пунктом необходимо будет сделать проверку системного диска

 

1) Пуск > Компьютер;

2) Щёлкните правой кнопкой мыши по системному диску, как правило, это диск С:\

3) В появившемся контекстном меню выберите "Свойства";

4) В новом окне выберите вкладку "Сервис";

5) Нажмите на кнопку "Проверить" в разделе "Проверка на наличие ошибок".

6) Дождитесь окончания проверки.

 

3. После чего выполните полную проверку устройства.

 

 

 

пока что идет проверка системных файлов

sfc выдал что не все системные смог восстановить. сейчас еще проверку диска сделаю

CBS.log

[regist]

sfc выдал что не все системные смог восстановить.

так проверьте

Скачайте этот скрипт, запустите рассширенную проверку. Полученные логи потом выложите здесь.

 

Add. Посмотрел ваш лог. sfc не смог восстановить файлы так как они и в хранилище у вас повреждены. И проблемы из-за обновления KB2779562.

Рассширенная проверка этим батникам должна запустить восстановление и в хранилище.

Изменено 31 октября, 2019 пользователем regist

[atatarchenko]

при первом запуске скрипт попросил скачать и установить обновление KB2966583, после перезагрузки запустил еще раз. выбрал расширенную проверку - скрипт снова не все файлы смог восстановить.

 

лог CBS запаковал, т.к. вес был 60+мб

а также сразу прикрепите трассировки антивируса с вопроизведением проблемы. 

 

а по этому действию инструкция есть?

уже разобрался, журналы отправил вдогонку к сообщению что все выполнено, но вирус на месте

 

 

upd.

переустановил обновление KB2779562 - sfc больше не нашел ошибок, лог чистый.

НО! вирус-то на месте!

CBS.rar

sfcdoc.log

Изменено 31 октября, 2019 пользователем atatarchenko

[regist]

 

 

переустановил обновление KB2779562 - sfc больше не нашел ошибок, лог чистый. НО! вирус-то на месте!

ждите ответа от тех. поддержки, я думаю это ложное срабатывание.

Просьба потом по результату тут отпишитесь.

[atatarchenko]

 

Просьба потом по результату тут отпишитесь.

 

Обязательно. Прислали письмо "ожидайте ответа", но судя по тексту - могут думать долго.

[atatarchenko]

Вопрос решен. Всем спасибо за помощь.

 

Ответ поддержки Касперского:

 

Уважаемый пользователь, приносим извинения за длительное время обработки вашего запроса.

 

Наши специалисты сообщили, что детектирование файла происходит потому, что «c:\windows\autokms\autokms.exe» внедряется в vbc.exe для целей, не связанных с вредоносным ПО, а для активации нелегальной копии Windows с использованием высоких привилегий процесса vbc.exe. Чтобы остановить обнаружение, мы рекомендуем не использовать эту KMS и удалить соответствующую задачу из планировщика задач.

 

 

удаление autokms помогло.