Перейти к содержанию

Помогите избавиться от MEM:Trojan.Win32.Cometer.gen


Рекомендуемые сообщения

Помогите вычистить заразу MEM:Trojan.Win32.Cometer.gen. KIS и KVRT не справляются.

1. Прошелся свежим KVRT.

2. После перезагрузки запустил AutoLogger (приложено).

 

CollectionLog-2021.06.25-16.19.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)

Знакома ли вам следующая служба?

 

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.


 

 

Ссылка на сообщение
Поделиться на другие сайты
Цитата


O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

Это служебный клиент перекидывает данные из одной базы в другую.

 

Цитата

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксил.

KIS выдает новую вирусную запись: MEM:Trojan.Win32.SEPEH.gen

После перезагрузки KIS лечит, через некоторое время снова находит его в системной памяти.

Изменено пользователем Sudar
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    CloseProcesses:
    File: D:\RK7\Rk7Manager_BIKO_SMR\rk7man.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Slava\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {1208F465-41A5-49D9-B0B1-4A5319D60DAC} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {1C5C2D73-8FCB-4D6D-BF05-0524FAFF152C} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {4FAA2443-599B-4FFD-A10A-A420446A319F} - \BjZKvdApgKcT -> Нет файла <==== ВНИМАНИЕ
    Task: {615162C7-4A70-43AD-A447-4DF91A57DECB} - \csrss -> Нет файла <==== ВНИМАНИЕ
    Task: {79D2CC23-3F54-4856-ABC8-A518B0E2690E} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    Task: {9BB72ECC-2ABC-4B4B-952F-C0AFEE4453DA} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
    REG: reg query "HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv" /s
    File: C:\Windows\SysWOW64\rttranscrypt.dll
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{658AC80A-178A-4BCD-89CB-8BDF7CE87CDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{BB0B1327-7407-43AC-9775-AA84E582DD63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{04A124B1-B770-4CCE-BEDE-E26F3FCD8DD1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{4820E56F-86C2-4F03-9F65-66CEE5A875C5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{DFCD9B6F-8ABB-4734-9B2B-011ADDB98FD3}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
    FirewallRules: [{69FF2B8F-EDF8-4084-B99E-4747DAAB8F6B}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.exe => Нет файла
    FirewallRules: [{2DE7552E-A131-4D5D-A057-31775D2B4FC7}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
    FirewallRules: [TCP Query User{2337231F-A80F-4A35-A71E-4B5D409A98ED}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    FirewallRules: [UDP Query User{0D75702F-93A2-4030-A96D-C95ACF0541C8}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта запустил TDSKiller - нашел объект. Выполнил удаление с перезагрузкой.

После перезагрузки выполнил проверку ещё раз -  объектов не обнаружено.

Fixlog.txt TDSSKiller.3.1.0.28_30.06.2021_10.10.28_log.txt TDSSKiller.3.1.0.28_30.06.2021_10.31.31_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Похоже был руткит.

10:25:36.0900 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms7E5CFE6CApp - will be deleted on reboot
10:25:36.0901 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms7E5CFE6CApp - will be deleted on reboot
10:25:37.0006 0x175c  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
10:25:37.0067 0x175c  C:\Windows\System32\Ms7E5CFE6CApp.dll - will be deleted on reboot

Могли бы приложить новые логи FRST.

Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Folder: C:\ProgramData\SecTaskMan
    CMD: Type C:\ProgramData\c
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7E5CFE6C.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7E5CFE6C.sys => ""="Driver"
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.8.3.1.21155 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
Total Commander 6.03a v.6.03a Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.3.0.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.2.6 Basic v.13.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

На этом всё!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • bserich
      От bserich
      CollectionLog-2022.01.13-19.34.zip ЦП поднимается до 100%
    • Константин141414
      От Константин141414
      CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
    • harp1xd
      От harp1xd
      Я обнаружил у себя на пк файл sppextcomobjhook.dll и патчер этого же файла. Пробовал удалять через DR web qureit, kasperskiy так же ничего не обнаружил. Вручную файл не удаляется из-за прав. Устал уже от этого майнера, прошу вашей помощи!

    • Stanislavsk1
      От Stanislavsk1
      Здравствуйте! словил вирус MEM:trojan.win 32.sepeh.gen. Вычитал у вас, что нужно скачать программу Universal Virus Sniffer и сделать полный образ автозапуска uVS.
      Все сделал , как по инструкции, лог приложил. помогите пожалуйста решить проблему.
      ЛОГ.TXT
×
×
  • Создать...