Перейти к содержанию

Как удалить MEM.Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Здравствуйте!

 

Видны следы нескольких антивирусов:

Цитата

 

Kaspersky Anti-Virus 21.3

Kaspersky Free 20.0

Avast Antivirus

Avira

 

Деинсталлируйте KAV и пройдитесь соответствующими утилитами для очистки.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Затем:

 

"Пофиксите" в HijackThis:

O22 - BITS Job: Fix all (including legit)
O22 - Task (.job): (Not scheduled) wsqmcons.job - C:\Users\Виталий\AppData\Roaming\wsqmcons.exe (file missing)

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите к следующему сообщению новый CollectionLog.

 

(Цитировать полностью предыдущее сообщение не нужно. Используйте форму быстрого ответа внизу).

Ссылка на сообщение
Поделиться на другие сайты

Удалите устаревший и больше не поддерживаемый

Цитата

Adobe Flash Player 32 PPAPI

 

 

"Пофиксите" в HijackThis :

O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Adobe Acrobat Update Task" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDAutoUpdate" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDInstallLauncher" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDLinkUpdate" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDRyzenMasterSDKTask" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\BraveSoftwareUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\BraveSoftwareUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\CorelUpdateHelperTask-9F619F8291FF252B89A017E70BC00085" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera GX scheduled assistant Autoupdate 1615548613" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera GX scheduled Autoupdate 1570844770" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartCN" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartCNBM" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartDVR" /ENABLE (user missing)
O22 - Task: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\wsqmcons" /ENABLE (user missing)
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\1" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Adobe Acrobat Update Task" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDAutoUpdate" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDInstallLauncher" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDLinkUpdate" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AMDRyzenMasterSDKTask" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\BraveSoftwareUpdateTaskMachineCore" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\BraveSoftwareUpdateTaskMachineUA" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\CorelUpdateHelperTask-9F619F8291FF252B89A017E70BC00085" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera GX scheduled assistant Autoupdate 1615548613" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\Opera GX scheduled Autoupdate 1570844770" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartCN" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartCNBM" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\StartDVR" /ENABLE
O22 - Task: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\WINDOWS\system32\schtasks.exe /Change /TN "\wsqmcons" /ENABLE
O22 - Task: Avira_Antivirus_Systray - C:\Program Files (x86)\Avira\Antivirus\avgnt.exe /min (file missing)

 

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

@Sandor после первых действий поставил обратно KAV, он вирус не нашел, наверно опять будет видно его в отчетах

 

FRST.txt Addition.txt

Изменено пользователем Vitalii
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {3251C26E-74B8-4C66-9346-F2E0BB5B175A} - \Adobe Flash Player Updater -> Нет файла <==== ВНИМАНИЕ
    Task: {32AEA289-143A-4F75-A844-B62173DAA1CD} - \Системное обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
    Task: {3DF659ED-7394-4A6D-97DF-217AACC3BACE} - \OneDrive Standalone Update Task-S-1-5-21-2204155692-146534763-2170301375-500 -> Нет файла <==== ВНИМАНИЕ
    Task: {65C808B1-4AA1-457E-86D0-747C733E62D0} - \AMDInstallUEP -> Нет файла <==== ВНИМАНИЕ
    Task: {92B3B2F8-2F3D-4BDA-96AC-A67F7704A8F6} - \CCleaner Update -> Нет файла <==== ВНИМАНИЕ
    Task: {BD3890E8-C526-4313-98AD-6D34EFBB41A9} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
    Task: {BF86FCB8-173B-4FB0-AC7B-20B2A71EE88C} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
    Task: {C2B961A6-0F70-46B4-B7D4-B24CFE636CE7} - \Восстановление сервиса обновлений Яндекс.Браузера -> Нет файла <==== ВНИМАНИЕ
    Task: {D1F24F79-0C00-481C-8139-7A77B859032B} - \Adobe Flash Player PPAPI Notifier -> Нет файла <==== ВНИМАНИЕ
    Task: {D4331B2A-D332-4DDE-B0DC-D669DEA913C4} - \Avira_Antivirus_Systray -> Нет файла <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
    S3 phantomtap; C:\WINDOWS\System32\drivers\phantomtap.sys [45056 2019-11-04] (Avira Operations GmbH & Co. KG -> The OpenVPN Project)
    2021-11-03 18:29 - 2021-03-03 20:57 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
    2021-11-01 16:40 - 2021-02-06 10:14 - 000000000 ____D C:\ProgramData\Avast Software
    AV: Kaspersky Free (Disabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
    AS: Kaspersky Free (Disabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
    AS: Avast Antivirus (Enabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [784]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [784]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [784]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [784]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [784]
    AlternateDataStreams: C:\Users\Виталий\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Виталий\Application Data:NT2 [784]
    AlternateDataStreams: C:\Users\Виталий\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Виталий\AppData\Roaming:NT2 [784]
    FirewallRules: [{24D57A80-692C-484E-9BFA-560B6AF70623}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
    FirewallRules: [{38F027D0-A348-473A-9489-1D20D988EFCC}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
    FirewallRules: [{09583A44-F6C9-490B-B0B3-CE8A1E085033}] => (Block) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Нет файла
    FirewallRules: [{E99D48C6-2FB4-4703-BD3A-AB4B5047CC67}] => (Allow) LPort=1900
    FirewallRules: [{2F2C17DC-30E3-419F-88B3-E21AEE1CCC21}] => (Allow) LPort=2869
    FirewallRules: [{490F9836-3BA4-4FC7-A080-0199E8422658}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    FirewallRules: [{3490F147-B791-4BF2-9D46-B13AC59F1696}] => (Allow) C:\Program Files (x86)\Shareman\Shareman.exe => Нет файла
    FirewallRules: [{F9807163-89A9-47F3-80A0-6BCCC0B3497A}] => (Allow) LPort=3306
    FirewallRules: [{1E3166F7-B80D-4E40-A1C9-16AEA3581D01}] => (Allow) LPort=33060
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Понаблюдайте проявится ли проблема. Проделайте завершающие шаги:

 

1. 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual Studio Code (User) v.1.49.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46038 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.19.008.20071 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 8.52 v.8.52 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На заметку - Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • pla3z
      От pla3z
      не могу удалить этот проклятый троян, помогите
      отчет.zip
    • L77S
      От L77S
      Здравствуйте, не могу избавиться от вируса, после сканирования KVRT, вирусы находит, но излечиться не получается, после перезагрузки ничего не меняется, загрузка ЦП 100 %. При запуске скрипта приходилось постоянно закрывать 2 процесса
      NT Karnel & System так как именно эти процессы, загружают ЦП, и не давали скрипту завершить свою работу, что бы получить логи.
      CollectionLog-2022.06.20-16.20.zip

    • LagunaHeartly
      От LagunaHeartly
      Добрый день. Со вчерашнего дня появился вирус на пк, при попытке удаления пк перезагружается и снова выдает сообщение о вирусе. Установил Kasperky Security Cloud, тоже самое, после лечения с перезагрузкой снова его находит. Просьба помочь, в тупике в полном. Версия Kaspersky Security Cloud 21.3.10.391 (h)

      CollectionLog-2022.04.05-22.04.zip
    • dr_Leon
      От dr_Leon
      Взломали 15.02.2022, ориентировочно ночью, сервер Win2008 R2, предположительно по RDP.
      Были изменены все пароли учётных записей, доступ к серверу невозможен по локали и по RDP
      Под LiveCD проверил утилитой Cure it, нашлось три идентичных файла в каталогах 1С (скрин), которые были идентифицированы как заражённые: trojan.encoder.34618
      Анализ данных файликов другими антивирусами дал следующее:
      Avast - Win32:RansomX-gen (Ransom)
      KVRT - Trojan.Win32.Generic

      На дисках зашифрованы практически все файлы документов и проектов с добавлением в имя надписи "[Bomani@Email.CoM]".
       
      Просьба помочь с расшифровкой данной заразы, заранее спасибо.

       

      Addition.txt FRST.txt 11 Фасад в осях 1-8.pdf.[Bomani@Email.zip
×
×
  • Создать...