[РЕШЕНО] троян Trojan.Win32.SEPEH.gen

[SQ 831]

Проверьте пожалуйста ПК утилитой KVRT.

[Dinny 0]

ничего нового, результат тот же самый....

 

Изменено 9 сентября, 2021 пользователем Dinny

[SQ 831]

UPD: Могли бы проверить пожалуйста файл vboxnetflt.exe и vboxnetflt.dat на virustotal.com.

C:\PROGRAM FILES (X86)\VIRTUALBOX BRIDGED NETWORKING DRIVER MINIPORT\VBOXNETFLT.EXE
C:\PROGRAM FILES (X86)\COMMON FILES\VIRTUALBOX BRIDGED NETWORKING DRIVER MINIPORT\VBOXNETFLT.DAT

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS в безопасном режиме.

[Dinny 0]

Ой!☺️ ?‍♀️

Вчера у вас  был какой-то еще был какой-то скрипт выложен для выполнения.  (До того, как появился "UPD: и т.д...."). 

Я его выполнила + перезагрузка. Дальше были какие -то станности. Выполнила проверку KVRT.  Вирус - есть. Перезагрузилась еще раз (почему - уже не помню). Сделала полную проверку KVRT  (часа на 2, включая системный раздел).  Вирус (Trojan.Win32.SEPEH.gen) больше не обнаруживается...

 

Beyond Compare 4 я деинсталлировала, VirtualBox могу снести, мне уже виртуалка не нужна ?

 

Сегодня проверила  vboxnetflt.exe  и  vboxnetflt.dat .Результаты проверки в скриншотах

И еще раз -  KVRT сегодня прогнала (часа на 2, включая системный раздел). Trojan.Win32.SEPEH.gen - не обнаруживается.

 

Образ автозапуска прилагаю.

 

Обнаруживается теперь not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen, файл: C:\Windows\SysWOW64\drivers\vde5ntg4.sys   - нагуглила, что это драйвера AVZ.

 

 

 

  

KSTUPIN5009_2021-09-10_18-32-16_v4.11.8.7z

[SQ 831]

  

12 hours ago, Dinny said:

Beyond Compare 4 я деинсталлировала, VirtualBox могу снести, мне уже виртуалка не нужна ?

UPD: Похоже из-за этого файла BCompare.exe (также возможно и vboxnetflt.exe) и возникали проблемы.  Уточните пожалуйста проблема (Trojan.Win32.SEPEH.gen) исчезла после деинсталяции приложения Beyond Compare 4 или до?

В логах еще виднется файл vboxnetflt.exe, чтобы убедится в его вредоносности могли выполнить следующий скрипт.  Если вы его удалили этот файл (например посредством KVRT) до создания лога uVS, то не выполняйте этот скрипт, а приложите новые логи uVS. 

Выполните скрипт в uVS:

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\PROGRAM FILES (X86)\VIRTUALBOX BRIDGED NETWORKING DRIVER MINIPORT\VBOXNETFLT.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\VIRTUALBOX BRIDGED NETWORKING DRIVER MINIPORT\VBOXNETFLT.DAT
czoo
restart

• Компьютер перегрузится.
• Могли бы пожалуйста  карантин zoo из папки uVS отправьте с помощью формы отправки карантина и также мне в ЛС( личным сообщение).

 

12 hours ago, Dinny said:

Обнаруживается теперь not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen, файл: C:\Windows\SysWOW64\drivers\vde5ntg4.sys   - нагуглила, что это драйвера AVZ.

 

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. 

 

12 hours ago, Dinny said:

Ой!☺️ ?‍♀️

Вчера у вас  был какой-то еще был какой-то скрипт выложен для выполнения.  (До того, как появился "UPD: и т.д...."). 

 

Да был, но так как вы еще не ответили, то после того как я посоветовался с коллегами я решил обновить свой пост, чтобы в начале попросить проверить запрошенные файлы.

[SQ 831]

12 hours ago, Dinny said:

Я его выполнила + перезагрузка. Дальше были какие -то станности.

Уточните пожалуйста о каких страностях идет речь?

[Dinny 0]

Сорри, вчера не могла ответить, меня в городе не было..

...

Я уже подзапуталась, как дело было.... попробую восстановить.

Странности были в том, что основной вирус не исчез сразу после выполнения скрипта,  а только после перепроверок KVRT, (их было несколько) и еще серии параллельных действий, включая "удаление" в KVRT ( по факту помещение в карантин Beyond Compare 4 и VirtualBox). Еще их оттуда для интереса извлекала обратно. Потом, наверное, уже удалила. Проблема (Trojan.Win32.SEPEH.gen) исчезла до деинсталяции приложения Beyond Compare 4 , это точно!

По ходу дела еще случайно запустила давно неиспользуемый AutoLogistic BootSpeed. В ходе очередной проверки идентифицировался еще один вирус и я снесла (деинсталлировала) это приложение. Полная проверка выявила еще пару рекламных бяк, которые тоже удалила через KVRT

Я приложу скриншоты истории сканирования и операций в KVRT от 09.09.21

 

Вопрос:

В данный момент VBoxNetFlt.exe не в карантине KVRT, мне скрипт выполнять надо? - и потом приложить карантин? (я запуталась...) 

 

....

Нашла более ранний вопрос по поводу установки компонентов, видимо пропустила,  отвечаю:

содержимое системы было в свое время (лет 5 назад) восстановлено акронисом из образа рабочего системного диска сотрудника. BCompare и т.п. с тех пор там и жили. BCompare скорее всего пользовалась дома, виртуалкой точно нет.  Делфи  мне были раньше нужны по работе дома, сейчас это все ничего не надо...

Комп за это время сканировался эпизодически, в подобных крякнутых компонентах что-то и раньше всплывало; но в системной памяти точно ранее не было вирусов!

 

 

 

 

 

Изменено 12 сентября, 2021 пользователем Dinny
добавление информации

[SQ 831]

6 hours ago, Dinny said:

Вопрос:

В данный момент VBoxNetFlt.exe не в карантине KVRT, мне скрипт выполнять надо? - и потом приложить карантин? (я запуталась...) 

 

да, если он еще в системе, то лучше его проверить. Если возможно отправьте карантин личным сообщением.

 

Насколько я вижу согласно скринам KVRT этот файл был удален, могли бы заархивировать каталог С:\KVRT2020 в zip c паролем infected и отправить его  личным сообщением.
 

Спасибо.

[Dinny 0]

Отправила карантин через форму 2021.09.12_ZOO_2021-09-12_21-11-47_142c3e12be648770ea19b1bbecf073f6.zip

В ЛС написала, но не нашла, как карантин прикрепить в ЛС

Изменено 12 сентября, 2021 пользователем Dinny

[SQ 831]

Спасибо, я отправил в Вирлаб, чтобы убедиться в их вредоносности перед удалением.

[SQ 831]

Я получил подтверждение [KL-1131067] это вредоносное ПО.

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   R2 xVBoxNe; C:\Program Files (x86)\VirtualBox Bridged Networking Driver Miniport\VBoxNetFlt.exe [40960 2011-05-08] (Oracle Corporation) [Файл не подписан]
   C:\Program Files (x86)\VirtualBox Bridged Networking Driver Miniport\VBoxNetFlt.exe
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.
   
   Сообщите, что с проблемой?

[Dinny 0]

Выполнила. 

Проверила, запустив KVRT:  ничего, кроме not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen не нашлось (забыла удалить драйвера AVZ)

 

Fixlog прикрепляю, службы по ходу выполнения скрипта не было найдено, экзешник успешно перемещен...

Fixlog_13-09-2021 21.02.24.txt

[SQ 831]

Если все ок, то выполните завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[Dinny 0]

Спасибо!

Готово!

Все выполнено, файл прикрепляю

 

SecurityCheck.txt

[SQ 831]

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
Oracle VM VirtualBox 4.3.20 v.4.3.20 Внимание! Скачать обновления
calibre 64bit v.1.23.0 Внимание! Скачать обновления
GitHub Desktop v.2.2.2 Внимание! Скачать обновления
Яндекс.Диск v.1.2.7.4608 Внимание! Скачать обновления
Notepad++ v.6.6.9 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TrueCrypt v.7.1 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать VeraCrypt.
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
Far Manager v1.70 v.v1.70 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.2.14 Внимание! Скачать обновления
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 71 (64-bit) v.7.0.710 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u301-windows-x64.exe).
-------------------------------- [ Media ] --------------------------------
AIMP3 v.v3.55.1355, 14.07.2014 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Vivaldi v.1.0.435.42 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

 На этом всё!