Перейти к содержанию

[РЕШЕНО] троян Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Комп вел себя в последее врея неадекватно. Запустила KVRT, в системной памяти обнаружен троян MEM:Trojan.Win32.SEPEH.gen.  Не удаляется, после перезагрузки обнаруживается снова.

Помогите, пожалуйста, избавиться!

 

Логи прилагаю.

 

CollectionLog-2021.09.07-18.27.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • SQ

    17

  • Dinny

    15

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} - yambler
O2-32 - HKLM\..\BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - (no file)
O4 - HKLM\..\Session Manager: [BootExecute] = (no file)

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\program files (x86)\twonkymedia\twonkymediaserverwatchdog.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

 

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. 
К сообщению прикреплять файл quarantine.7z не нужно!

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое, все выполнила!

Имя карантина (отправлен через форму):                  2021.09.08_quarantine_6c94ad10c6f4cfe0b8d36bec12548852.7z

Отчет  сканирования прилагаю

AdwCleaner[S00].txt

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Очистила (поместила в карантин).

Перезагрузилась.

Отчет прикрепляю

Удялять объекты полностью из карантина? 

AdwCleaner[C00].txt

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты
34 minutes ago, Dinny said:

 

Удялять объекты полностью из карантина? 

пока не нужно, если вдруг вы захотите что-то восстановить из указанного в логе, то сможем восстановить.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {4304227E-CF6F-4C5A-AC6F-2BA54ADB185C} - System32\Tasks\kbrowser-updater-utility => C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe <==== ВНИМАНИЕ
    Task: {896EF3CE-1119-46D4-8AA2-0183EEE86E71} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Нет файла <==== ВНИМАНИЕ
    Task: {E3DC6B08-2341-4638-9D3D-87E104DBAB01} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Нет файла <==== ВНИМАНИЕ
    File: C:\Windows\u39v22.exe
    File: C:\Windows\UnGins.exe
    File: C:\Windows\SysWOW64\MFC_InstDrvDLL.dll
    File: C:\Windows\SysWOW64\WSIHK32.DLL
    File: C:\Windows\SysWOW64\WSIWIN32.DLL
    CustomCLSID: HKU\S-1-5-21-2968404021-3714641617-3683705753-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-2968404021-3714641617-3683705753-1000_Classes\CLSID\{8A791F0C-C63C-4EC5-B97F-FBCE74EDBC54}\InprocServer32 -> отсутствует путь к файлу
    ContextMenuHandlers1_S-1-5-21-2968404021-3714641617-3683705753-1000: [TextPad] -> {8A791F0C-C63C-4EC5-B97F-FBCE74EDBC54} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [136]
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    S2 AHDDC2; отсутствует ImagePath
    S3 NLNdisMP; отсутствует ImagePath
    S3 NLNdisPT; отсутствует ImagePath
    U3 DfSdkS; отсутствует ImagePath
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в uVS:
 

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAM FILES (X86)\BEYOND COMPARE 4\BCOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\KSTUPIN\APPDATA\LOCAL\TEMP\RARSFX0\WINKMSACTIVATION180DAYFREE2014__2827_IL108325.EXE
czoo
restart

 

Ссылка на сообщение
Поделиться на другие сайты

выполнила

Куда прикреплять карантин не нашла - ссылки не вижу для прикрепления (возможно, при отсутсвии регистрации не доступна ?)

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста  карантин zoo из папки uVS отправьте с помощью формы отправки карантина.

Могли бы уточнить, если сами устанавливали следующее приложение?

 

C:\PROGRAM FILES (X86)\BEYOND COMPARE 4\BCOMPARE.EXE

 

Ссылка на сообщение
Поделиться на другие сайты

отправила файл карантина через форму, спасибо!

Имя карантина 2021.09.08_ZOO_2021-09-08_20-39-22_46aedcbcdf42d5727dc404b98b3de52f.zip

Изменено пользователем Dinny
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • scorpioncd
      От scorpioncd
      Добрый день!
      Данный вирус зашифровал нам все базы 1С на сервере.
      Подскажите, пожалуйста,возможно ли восстановить данные?
      архив.7z
    • Philionet
      От Philionet
      Здравия! Скачал тут недавно программу с торрента и похоже это был вирус. В итоге после него когда скачивал новые официальные программы выдавало ошибку не получается получить доступ к объекту на который ссылается этот ярлык. Такое выдает обычно когда нет прав администратора но они у меня есть. Вообщем такое точно не должно происходить.

      Запускал проверку утилитой KVRT и удалил два вредоносных файла. Боюсь что еще что то могло остаться! Пожалуйста помогите
       
      CollectionLog-2022.04.04-00.06.zip
    • waromon
      От waromon
      Доброго времени суток!
      Касперский периодически жалуется на вирус mem:trojan.win64.generic.mem в системной памяти, но не лечит его. Судя по всему вирус грузит ЦП до 100%, но при включении диспетчера задач выключается.
      CollectionLog-2022.02.27-11.50.zip
    • Mishail
      От Mishail
      Здравствуйте, споймал Троян Wacatac.B!ml. В журнале угроз показывает что найдено 2 угрозы, а в полном журнале время от времени появляется этот Троян


    • kajit1
      От kajit1
      Начал замечать, что когда компьютер остается в простое и ни одна программа не открыта в полноэкранном режиме, про процессор начинается грузится на 70-100%. Когда открываешь диспетчер задач, то все становится на свои места, но при этом можно заметить, что грузит ЦП процесс "Системные прерывания". Понял, что словил майнер. При проверке утилитой от касперского находит MEM:Trojan.Win64.Generic.mem в System Memory. Но после лечения через некоторое время процессор опять начинает грузится. Помогите пожалуйста, как с этим быть? Файл с логами прилагаю.
      CollectionLog-2022.02.03-18.20.zip

×
×
  • Создать...