Перейти к содержанию

Помогите избавиться от MEM:Trojan.Win32.Cometer.gen


Рекомендуемые сообщения

Помогите вычистить заразу MEM:Trojan.Win32.Cometer.gen. KIS и KVRT не справляются.

1. Прошелся свежим KVRT.

2. После перезагрузки запустил AutoLogger (приложено).

 

CollectionLog-2021.06.25-16.19.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)

Знакома ли вам следующая служба?

 

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.


 

 

Ссылка на комментарий
Поделиться на другие сайты

Цитата


O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

Это служебный клиент перекидывает данные из одной базы в другую.

 

Цитата

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксил.

KIS выдает новую вирусную запись: MEM:Trojan.Win32.SEPEH.gen

После перезагрузки KIS лечит, через некоторое время снова находит его в системной памяти.

Изменено пользователем Sudar
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    CloseProcesses:
    File: D:\RK7\Rk7Manager_BIKO_SMR\rk7man.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Slava\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {1208F465-41A5-49D9-B0B1-4A5319D60DAC} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {1C5C2D73-8FCB-4D6D-BF05-0524FAFF152C} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {4FAA2443-599B-4FFD-A10A-A420446A319F} - \BjZKvdApgKcT -> Нет файла <==== ВНИМАНИЕ
    Task: {615162C7-4A70-43AD-A447-4DF91A57DECB} - \csrss -> Нет файла <==== ВНИМАНИЕ
    Task: {79D2CC23-3F54-4856-ABC8-A518B0E2690E} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    Task: {9BB72ECC-2ABC-4B4B-952F-C0AFEE4453DA} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
    REG: reg query "HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv" /s
    File: C:\Windows\SysWOW64\rttranscrypt.dll
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{658AC80A-178A-4BCD-89CB-8BDF7CE87CDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{BB0B1327-7407-43AC-9775-AA84E582DD63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{04A124B1-B770-4CCE-BEDE-E26F3FCD8DD1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{4820E56F-86C2-4F03-9F65-66CEE5A875C5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{DFCD9B6F-8ABB-4734-9B2B-011ADDB98FD3}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
    FirewallRules: [{69FF2B8F-EDF8-4084-B99E-4747DAAB8F6B}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.exe => Нет файла
    FirewallRules: [{2DE7552E-A131-4D5D-A057-31775D2B4FC7}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
    FirewallRules: [TCP Query User{2337231F-A80F-4A35-A71E-4B5D409A98ED}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    FirewallRules: [UDP Query User{0D75702F-93A2-4030-A96D-C95ACF0541C8}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

Ссылка на комментарий
Поделиться на другие сайты

После выполнения скрипта запустил TDSKiller - нашел объект. Выполнил удаление с перезагрузкой.

После перезагрузки выполнил проверку ещё раз -  объектов не обнаружено.

Fixlog.txt TDSSKiller.3.1.0.28_30.06.2021_10.10.28_log.txt TDSSKiller.3.1.0.28_30.06.2021_10.31.31_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Похоже был руткит.

10:25:36.0900 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms7E5CFE6CApp - will be deleted on reboot
10:25:36.0901 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms7E5CFE6CApp - will be deleted on reboot
10:25:37.0006 0x175c  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
10:25:37.0067 0x175c  C:\Windows\System32\Ms7E5CFE6CApp.dll - will be deleted on reboot

Могли бы приложить новые логи FRST.

Ссылка на комментарий
Поделиться на другие сайты

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Folder: C:\ProgramData\SecTaskMan
    CMD: Type C:\ProgramData\c
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7E5CFE6C.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7E5CFE6C.sys => ""="Driver"
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.8.3.1.21155 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
Total Commander 6.03a v.6.03a Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.3.0.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.2.6 Basic v.13.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

На этом всё!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Чилипиздрик
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • Namido
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • KitKat
      Автор KitKat
      CollectionLog-2025.06.29-18.57.zip
      Снова и снова возвращается вирус MEM:Trojan.Win32.SEPEH.gen . При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса. Удаляет. Некоторое время тихо, Потом опять возвращается. С середины мая воюю. Утилита доктора Вэба вообще ничего не находит. 
    • Шавкат Аблазов
      Автор Шавкат Аблазов
      Уже несколько месяцев,раз,а то и несколько раз в неделю касперский находит данный троян MEM:Trojan.Win32.SEPEH.gen,после каждого лечения через некоторое время  снова возникает он при проверке,т.е никак не удаляется,прошу помочь
      CollectionLog-2025.05.23-23.11.zip
    • Kapibara
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
×
×
  • Создать...