Перейти к содержанию
Правила раздела

[РЕШЕНО] троян Trojan.Win32.SEPEH.gen

Dinny

Автор Dinny,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Dinny

Dinny 0

Опубликовано
Опубликовано

Комп вел себя в последее врея неадекватно. Запустила KVRT, в системной памяти обнаружен троян MEM:Trojan.Win32.SEPEH.gen.  Не удаляется, после перезагрузки обнаруживается снова.

Помогите, пожалуйста, избавиться!

 

Логи прилагаю.

 

CollectionLog-2021.09.07-18.27.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • SQ

    17

  • Dinny

    15

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

SQ

SQ 831

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} - yambler
O2-32 - HKLM\..\BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - (no file)
O4 - HKLM\..\Session Manager: [BootExecute] = (no file)

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\program files (x86)\twonkymedia\twonkymediaserverwatchdog.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

  

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

 

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. 
К сообщению прикреплять файл quarantine.7z не нужно!

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты
Dinny

Dinny 0

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо большое, все выполнила!

Имя карантина (отправлен через форму):                  2021.09.08_quarantine_6c94ad10c6f4cfe0b8d36bec12548852.7z

Отчет  сканирования прилагаю

AdwCleaner[S00].txt

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
Dinny

Dinny 0

Опубликовано
  • Автор
Опубликовано (изменено)

Очистила (поместила в карантин).

Перезагрузилась.

Отчет прикрепляю

Удялять объекты полностью из карантина? 

AdwCleaner[C00].txt

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано
34 minutes ago, Dinny said:

 

Удялять объекты полностью из карантина? 

пока не нужно, если вдруг вы захотите что-то восстановить из указанного в логе, то сможем восстановить.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
Task: {4304227E-CF6F-4C5A-AC6F-2BA54ADB185C} - System32\Tasks\kbrowser-updater-utility => C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe <==== ВНИМАНИЕ
Task: {896EF3CE-1119-46D4-8AA2-0183EEE86E71} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Нет файла <==== ВНИМАНИЕ
Task: {E3DC6B08-2341-4638-9D3D-87E104DBAB01} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Нет файла <==== ВНИМАНИЕ
File: C:\Windows\u39v22.exe
File: C:\Windows\UnGins.exe
File: C:\Windows\SysWOW64\MFC_InstDrvDLL.dll
File: C:\Windows\SysWOW64\WSIHK32.DLL
File: C:\Windows\SysWOW64\WSIWIN32.DLL
CustomCLSID: HKU\S-1-5-21-2968404021-3714641617-3683705753-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2968404021-3714641617-3683705753-1000_Classes\CLSID\{8A791F0C-C63C-4EC5-B97F-FBCE74EDBC54}\InprocServer32 -> отсутствует путь к файлу
ContextMenuHandlers1_S-1-5-21-2968404021-3714641617-3683705753-1000: [TextPad] -> {8A791F0C-C63C-4EC5-B97F-FBCE74EDBC54} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [136]
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
S2 AHDDC2; отсутствует ImagePath
S3 NLNdisMP; отсутствует ImagePath
S3 NLNdisPT; отсутствует ImagePath
U3 DfSdkS; отсутствует ImagePath
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Выполните скрипт в uVS:
  

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAM FILES (X86)\BEYOND COMPARE 4\BCOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\KSTUPIN\APPDATA\LOCAL\TEMP\RARSFX0\WINKMSACTIVATION180DAYFREE2014__2827_IL108325.EXE
czoo
restart

 

Ссылка на сообщение
Поделиться на другие сайты
Dinny

Dinny 0

Опубликовано
  • Автор
Опубликовано

выполнила

Куда прикреплять карантин не нашла - ссылки не вижу для прикрепления (возможно, при отсутсвии регистрации не доступна ?)

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Могли бы пожалуйста  карантин zoo из папки uVS отправьте с помощью формы отправки карантина.

Могли бы уточнить, если сами устанавливали следующее приложение?
  

C:\PROGRAM FILES (X86)\BEYOND COMPARE 4\BCOMPARE.EXE

 

Ссылка на сообщение
Поделиться на другие сайты
Dinny

Dinny 0

Опубликовано
  • Автор
Опубликовано (изменено)

отправила файл карантина через форму, спасибо!

Имя карантина 2021.09.08_ZOO_2021-09-08_20-39-22_46aedcbcdf42d5727dc404b98b3de52f.zip

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • EvgeniyF
      [РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler
      От EvgeniyF
      Добрый день.
      Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
      После лечения происходит перезагрузка и сообщение о трояне появляется снова.
      Вторым сообщением попытаюсь приложить файл логов AVZ
      CollectionLog-2024.04.09-15.14.zip
    • Артëм
      Проблема с антивирусом
      От Артëм
      В исключениях антивируса добааляются папки, и расширения, которые после удаления появляются снова. Сканирование не даëт результатов. Через реестр просто нет той папки где со слов "интернета" Они должны быть. Что делать ума не приложу(
    • mmaazzik
      [РЕШЕНО] помощь в удалении вируса, который не хочет удаляться
      От mmaazzik
      здравствуйте. не знаю как приложить логи DRWeb и KVRT. приложу скрин проверки. все проверки делаю с включенной программой AnVir. так же несколько скринов из нее, + логи Автологера 



      CollectionLog-2024.04.09-12.40.zip
×
×
  • Создать...