[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Win32.NetWire.gen не удаляются

[Almih2006 0]

Доброго времени суток!

 

Последний KIS, установленный сегодня постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen и время от времени MEM:Trojan.Win32.NetWire.gen. Выбор опции лечение с перезагрузкой не помогает. KIS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти кроме MEM:Trojan.Win32.SEPEH.gen в среднем каждый второй раз находится и MEM:Trojan.Win32.NetWire.gen.

 

KVRT нашел только MEM:Trojan.Win32.SEPEH.gen все там же в системной памяти. Лечение не помогает. Находит раз за разом. Лог файл от AutoLogger прилагается. 

 

Желание установить KIS возникло после того, как по несчастливой случайности на компьютере был запущен троян, полученный по скайпу. Установленный до KIS антивирус от Malwarebytes не него не среагировал.

 

Что делать? Куда копать?

 

Заранее благодарен за помощь.

CollectionLog-2020.05.26-21.56.zip

[mike 1 1 093]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 QuarantineFile('C:\Users\almih\AppData\Roaming\Canon\MF645C_F4A997CAE98E\vis.exe','');
 DeleteFile('C:\Users\almih\AppData\Roaming\Canon\MF645C_F4A997CAE98E\vis.exe','64');
 DeleteSchedulerTask('vis.job');
 DeleteSchedulerTask('visual.job');
 DeleteFile('C:\Users\almih\AppData\Roaming\Adobe\Flash Player\NativeCache\visual.exe','32');
 DeleteSchedulerTask('vis');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10440__190131
O4 - HKU\S-1-5-21-3202683969-2454921307-2421183048-1004\..\RunOnce: [Application Restart #0] = C:\Windows\System32\WpcMon.exe (User 'mikha')
O4 - User Startup: C:\Users\almih\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sirewn.lnk    ->    C:\Users\almih\AppData\Roaming\sirewn.exe
O4 - User Startup: C:\Users\almih\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vis.lnk    ->    C:\Users\almih\AppData\Roaming\Canon\MF645C_F4A997CAE98E\vis.exe
O4-32 - HKLM\..\RunOnce: [{1E3D521E-1F45-4A52-BCD1-F3C73246CF24}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\almih\AppData\Local\Temp" /B {1E3D521E-1F45-4A52-BCD1-F3C73246CF24}.cmd

 

Сделайте новые логи Автологгером. 
 

Изменено 26 мая, 2020 пользователем mike 1

[Almih2006 0]

@mike 1, я сделал все, как вы написали. Единственное, что у меня в HiJackThis к моменту "фикса" уже не было вот этих строчек:

 

Цитата

O4 - HKU\S-1-5-21-3202683969-2454921307-2421183048-1004\..\RunOnce: [Application Restart #0] = C:\Windows\System32\WpcMon.exe (User 'mikha')

O4-32 - HKLM\..\RunOnce: [{1E3D521E-1F45-4A52-BCD1-F3C73246CF24}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\almih\AppData\Local\Temp" /B {1E3D521E-1F45-4A52-BCD1-F3C73246CF24}.cmd

 

 

Файл quarantine.zip из папки AVZ  вам на почту отправил. Новые логи прилагаю. Жду дальнейших указаний.

 

Заранее благодарен за вашу помощь.

CollectionLog-2020.05.27-01.15.zip

[mike 1 1 093]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Almih2006 0]

@mike 1, FRST запускал уже ранее, но только что запустил еще раз. Он создал 2 файла. Оба прилагаю. Только у меня в интерфейсе FRST нет пункта "Drivers MD5":

 

Хотя, я полагаю этот пункт в последних версиях переименован в "SigChek Ext". Я его выбрал.

 

P.S. Не уверен, то кажется после вчерашнего фикса веток реестра KIS перестал находить в системной памяти трояна. Такое возможно? За день ни одного срабатывания. Сейчас запустил полную проверку. По результатам отпишусь. 

Addition.txt FRST.txt

 

Полная проверка только что завершилась. Угроз не обнаружено. Полагаю, проблему можно считать решенной. Большое спасибо, @mike 1, за вашу помощь!

[mike 1 1 093]

Логи в порядке.

[mike 1 1 093]

Мы были рады Вам помочь!Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".