Перейти к содержанию
Правила раздела

MEM:trojan.win32.sepeh.gen

Stanislavsk1

Автор Stanislavsk1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Stanislavsk1

Stanislavsk1

Опубликовано
Опубликовано

Здравствуйте! словил вирус MEM:trojan.win 32.sepeh.gen. Вычитал у вас, что нужно скачать программу Universal Virus Sniffer и сделать полный образ автозапуска uVS.

Все сделал , как по инструкции, лог приложил. помогите пожалуйста решить проблему.

ЛОГ.TXT

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,
 

Приложенный лог не содержит нужно информации.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\1670.py', '');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Stanislavsk1

Stanislavsk1

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\1670.py', '');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Сделано

Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

30 минут назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ждём.

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
AlternateDataStreams: C:\WINDOWS\system32\Drivers\iaStorB.sys:com.dropbox.attributes [168]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\iaStorS.sys:com.dropbox.attributes [168]
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Деинсталлируйте скрытый ранее:

Цитата

Avast Update Helper

 

Sandor

Sandor

Опубликовано
Опубликовано
21.12.2021 в 04:41, Stanislavsk1 сказал:

словил вирус MEM:trojan.win 32.sepeh.gen

Что сейчас с этим?

Stanislavsk1

Stanislavsk1

Опубликовано
  • Автор
Опубликовано

касперский вроде не видит. понаблюдаю. спасибо!

Sandor

Sandor

Опубликовано
Опубликовано

Пока наблюдаете, проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Кустас
      Подозрение на вирус
      Автор Кустас
      Компьютер начал ОЧЕНЬ сильно тупить, даже проводник пр и входе в папку открывает её секунд 10.
      CollectionLog-2025.12.13-21.05.zip
    • 420427
      какой-то вирус залез Trojan.Win32.Agentb.adkr
      Автор 420427
      Здравствуйте, какой-то вирус залез в комп, помогите, пожалуйста, избавиться.
      CollectionLog-2025.12.12-15.19.zip
    • NoEndOutcry
      Тормозит компьютер, регулярные синие экраны и перезагрузка
      Автор NoEndOutcry
      Добрый день, у меня проблема с тормозами и постоянными перезагрузками на компьютере с виндовс 10, своими силами решить не удалось, автозапуск чистил, антивирусом проверял, посторонних процессов не вижу. 
       

      Процессор    AMD Ryzen 9 5900X 12-Core Processor               3.70 GHz
      Оперативная память    128 ГБ
       
      Проблема проявляется иногда раз в неделю в виде синего экрана, иногда 10 раз за день, как сегодня. Комп повисает и просто перестает на что-то реагировать. Регулярно начинают выть вентиляторы, хотя нагрузки никакой нет, а железо достаточно мощное что бы мелкие фоновые задачи решать не греясь. Подозреваю что закрался майнер или какой-то вирус. Установлен касперский премиум, но он проблем не видит. 
      В диспетчере задач тоже не вижу ничего подозрительного. Прогнал сканирование и логгер, результаты прикладываю. 
      Буду признателен совету как поступить для дальнейшей диагностики и по решению проблемы. 
       

      CollectionLog-2025.12.10-14.30.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • Malorym_Inqyy
      [РЕШЕНО] Троян в бесплатном впн
      Автор Malorym_Inqyy
      Здравствуйте, вчера скачал бесплатный впн, заметил, что в диспетчере появился процесс который грузит мой процессор, из-за чего компьютер стал сильно гудеть. Прошу помочь!
      CollectionLog-2025.12.05-14.31.zip
×
×
  • Создать...