Перейти к содержанию
Правила раздела

Вирус в системной памяти mem trojan.win32.sepem.gen

popov3275

Автор popov3275
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
popov3275

popov3275

Опубликовано
  • Автор
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

AdwCleanerC01.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты
popov3275

popov3275

Опубликовано
  • Автор
Опубликовано

ссылка на virusinfo.info

FRST.txt во вложении

 

https://virusinfo.info/virusdetector/report.php?md5=B77E1D3EFC731615C115D8E7C9E00DF5

 

 

 

 

+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe
H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe

аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом.

 

Даже ваша сборка

H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate

и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить).

 

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Это тоже сделайте, пожалуйста.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат.

 

 

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1. Не цитируйте полностью предыдущие сообщения. Используйте форму быстрого ответа внизу.

 

2. Старайтесь отвечать на все наши вопросы:

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys

совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать?

3. Вы прикрепили не тот файл, нужен Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
popov3275

popov3275

Опубликовано
  • Автор
Опубликовано (изменено)

+

G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys
совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.

Будем его зачищать?

 

 

Будем

Изменено пользователем Sandor
Поправил BB-код
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • woi12
      [РЕШЕНО] Не удаляется вирус Trojan.win32.Agentb.adkr
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • scaramuccia
      Системное администрирование
      Автор scaramuccia
      Добрый день. Нашему подразделению предоставляется лицензионный ключ Касперского. Я установил KSC, сделал его подчиненным указанному нам серверу, с которого распространяется ключ и политика, и к которому напрямую у меня нет доступа. Все работает и управляется прекрасно. Но многие полезные функции KSC мне недоступны из-за отсутствия лицензии на системное администрирование. Позволяет ли мне данная лицензия использовать системное администрирование? Или ее надо приобретать отдельно для своего сервера?

    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
×
×
  • Создать...