[РЕШЕНО] MEM:Trojan.win32.Sepeh.gen не удаляется

[yevgeniy_bulin]

Здравствуйте! Знаю, что тут много кто уже лечил этот вирус. 
Отдавал компьютер на переустановку виндоус, новый жёсткий диск. Мне установили ещё много разных программ, но сам вирус появился позже. Есть подозрение, что принесли на флешке с работы, т.к. флешка тоже была заражена чем-то. Касперский находит, его в памяти, но появляется снова. Доктор веб Cureit не видит. Помогите, пожалуйста, вылечить.

CollectionLog-2021.10.29-20.23.zip

Изменено 29 октября, 2021 пользователем yevgeniy_bulin

[SQ]

Здравствуйте,

 

Удалите IObit Uninstaller через установку программ в панели управления.
 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[yevgeniy_bulin]

6 часов назад, SQ сказал:

Здравствуйте,

 

Удалите IObit Uninstaller через установку программ в панели управления.
 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Здравствуйте! Вот, сделал

DESKTOP-1OGUJPT_2021-10-30_15-41-17_v4.11.12.zip

[SQ]

В логах замечен только один файл с подозрительной репутацией CPLDAPU.EXE, но не похоже на вредоносный.  
Также если ориентироваться на файл xtajit.dll, то скорее всего вы использовали активатор.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[yevgeniy_bulin]

23 минуты назад, SQ сказал:

В логах замечен только один файл с подозрительной репутацией CPLDAPU.EXE, но не похоже на вредоносный.  
Также если ориентироваться на файл xtajit.dll, то скорее всего вы использовали активатор.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Благодарю! 
Вообще сегодня этот вирус нигде не вылазил. Ни Каспер ни кто другой не предупреждал. Может как-то получилось удалить с помощью Malware. IObit удалил.

Addition.txt FRST.txt

[SQ]

Возможно антивирус реагировал на активатор, который Defender удалил:

Windows Defender:
================
Date: 2021-10-25 12:32:53
Description: 
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0
Имя: HackTool:Win32/AutoKMS
ИД: 2147685180
Серьезность: Высокий
Категория: Программное средство
Путь: file:_C:\Windows\AAct_Tools\AAct.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-1OGUJPT\USER
Название процесса: C:\Windows\explorer.exe
Версия службы анализа безопасности: AV: 1.351.1013.0, AS: 1.351.1013.0, NIS: 1.351.1013.0
Версия подсистемы: AM: 1.1.18600.4, NIS: 1.1.18600.4

 

Обратите внимание, что не рекомендуется использовать более одного антивируса, оставьте в системе только один и удалите другой.
 

AV: Norton Security (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Norton Security (Enabled - Up to date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}

AV: Norton Security (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
FW: Norton Security (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
FW: Norton Security (Enabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FW: Norton Security (Enabled) {6BFC5632-188D-B806-D13E-C607121B42A0}

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   HKLM-x32\...\Run: [] => [X]
   HKU\S-1-5-21-749652647-2542495173-3199842006-1001\...\Policies\Explorer: [] 
   GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
   GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   2021-10-29 14:35 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\LocalLow\IObit
   2021-10-29 14:34 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\Roaming\IObit
   2021-10-29 14:34 - 2021-10-29 14:35 - 000000000 ____D C:\ProgramData\IObit
   2021-10-29 14:34 - 2021-10-29 14:34 - 000000000 ____D C:\Program Files (x86)\IObit
   File: C:\Program Files (x86)\psiphon3.exe
   File: C:\Windows\System32\sethc.exe
   AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [167]
   AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [430]
   FirewallRules: [TCP Query User{FD34C461-4457-4FF8-9A62-82BCC88E6C82}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
   FirewallRules: [UDP Query User{BBF85025-21C2-4125-B919-95640B447694}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[yevgeniy_bulin]

16 minutes ago, SQ said:

Закройте и сохраните все открытые приложения.

1. Выделите следующий код::

   
   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   HKLM-x32\...\Run: [] => [X]
   HKU\S-1-5-21-749652647-2542495173-3199842006-1001\...\Policies\Explorer: [] 
   GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
   GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   2021-10-29 14:35 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\LocalLow\IObit
   2021-10-29 14:34 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\Roaming\IObit
   2021-10-29 14:34 - 2021-10-29 14:35 - 000000000 ____D C:\ProgramData\IObit
   2021-10-29 14:34 - 2021-10-29 14:34 - 000000000 ____D C:\Program Files (x86)\IObit
   File: C:\Program Files (x86)\psiphon3.exe
   File: C:\Windows\System32\sethc.exe
   AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [167]
   AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [430]
   FirewallRules: [TCP Query User{FD34C461-4457-4FF8-9A62-82BCC88E6C82}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
   FirewallRules: [UDP Query User{BBF85025-21C2-4125-B919-95640B447694}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
   End::

    

2. Скопируйте выделенный текст (правой кнопкой - Копировать).
3. Запустите FRST/FRST64 (от имени администратора).
4. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
5. Обратите внимание, что компьютер будет возможно перезагружен.

Понял. Простите, а куда вставить этот текст?

[SQ]

7 minutes ago, yevgeniy_bulin said:

Понял. Простите, а куда вставить этот текст?

Никуда вставлять не нужно текст, пожалуйста следуйте инструкциям.

[yevgeniy_bulin]

3 минуты назад, SQ сказал:

Никуда вставлять не нужно текст, пожалуйста следуйте инструкциям.

Fixlog.txt

[SQ]

Уточните пожалуйста, что с проблемой? Согласно логам на вашем компьютере нет вредоносного ПО.

[yevgeniy_bulin]

1 минуту назад, SQ сказал:

Уточните пожалуйста, что с проблемой? Согласно логам на вашем компьютере нет вредоносного ПО.

Пока ничего) Сегодня ничего подозрительного не было. Скорее всего ушло всё) Либо в результате действий, либо какой-то антивирус удалил его. Спасибо большое за помощь!

[SQ]

Всегда рады помочь.

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[yevgeniy_bulin]

18 минут назад, SQ сказал:

Всегда рады помочь.

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

SecurityCheck.txt

[SQ]

Ознанакомьтесь со следующей информацией

 

-------------------------- [ SecurityUtilities ] --------------------------
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.95.0.4638.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Glary Utilities 5.175 v.5.175.0.203 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
на этом всё!

[yevgeniy_bulin]

49 минут назад, SQ сказал:

Ознанакомьтесь со следующей информацией

 

-------------------------- [ SecurityUtilities ] --------------------------
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.95.0.4638.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Glary Utilities 5.175 v.5.175.0.203 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
на этом всё!

Спасибо большое!