Вирус в системной памяти mem trojan.win32.sepem.gen

[popov3275]

При сканировании касперский обнаружил троян

CollectionLog-2019.11.05-14.35.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[popov3275]

Прикрепляю 

AdwCleanerS00.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[regist]

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).

Изменено 5 ноября, 2019 пользователем regist

[popov3275]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

AdwCleanerC01.txt

FRST.txt

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

 

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.

[popov3275]

ссылка на virusinfo.info

FRST.txt во вложении

 

https://virusinfo.info/virusdetector/report.php?md5=B77E1D3EFC731615C115D8E7C9E00DF5

 

 

 

 

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).

 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.

 

 

FRST.txt

[Sandor]

1. Не цитируйте полностью предыдущие сообщения. Используйте форму быстрого ответа внизу.

 

2. Старайтесь отвечать на все наши вопросы:

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать?

3. Вы прикрепили не тот файл, нужен Fixlog.txt

[popov3275]

 

3. Вы прикрепили не тот файл, нужен Fixlog.txt

 

Fixlog_06-11-2019 13.51.30.txt

[Sandor]

Еще не ответили на п.2

 

Обнаружение продолжается?

[popov3275]

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

 

 

Будем

Изменено 6 ноября, 2019 пользователем Sandor
Поправил BB-код

[regist]

Свежие логи Автологером соберите и прикрепите.