Удаление вируса trojan.win32.sepeh.gen

[ABurmakov]

Добрый день!

KVRT обнаружил на компьютере trojan.win32.sepeh.gen в системной памяти. При попытке "Лечения" с перезагрузкой - чёрный экран с указателем мышки. 

Подскажите алгоритм, как вылечить данный вирус?

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[ABurmakov]

Прикрепил все отчёты

Addition.txt FRST.txt Shortcut.txt CollectionLog-2022.01.01-20.40.zip

[thyrex]

Делать нужно только то, что Вам написали, а не запускать одновременно массу утилит.

 

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('nslooksvc32');
 DeleteSchedulerTask('nslooksvc64.job');
 DeleteSchedulerTask('nslooksvc32.job');
 DeleteSchedulerTask('nslooksvc64');
 DeleteSchedulerTask('update windows');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[ABurmakov]

Извините, что сделал что-то не так.

Запустил скрипт, после ребута пк запустил Autologger

Логи приложил

CollectionLog-2022.01.02-17.26.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[ABurmakov]

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3227924549-2093221524-2543293180-1001\...\MountPoints2: {2103f56d-93f1-11eb-b36a-3c58c2fcdbf8} - "E:\SETUP.EXE" 
HKU\S-1-5-21-3227924549-2093221524-2543293180-1001\...\MountPoints2: {c8843897-405b-11eb-b351-3c58c2fcdbf8} - "D:\setup.EXE" /AUTORUN
Task: {F020CF1F-8B56-47B0-85EA-DEF3DC4A2DA5} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Program Files (x86)\MSI\One Dragon Center\MSI.NotifyServer.exe Detect_Monitor (Нет файла)
Task: {BF08276A-5E84-4D79-9495-09FEED2C3B82} - System32\Tasks\MSI Task Host - MSI.True Color => C:\Program Files (x86)\MSI\One Dragon Center\True Color\MSI.True Color.exe (Нет файла)
Task: {170A0498-6502-4EAB-9665-14C21916DF0E} - System32\Tasks\MSI Task Host - DisplayID => C:\Program Files (x86)\MSI\One Dragon Center\MSI.NotifyServer.exe Detect_DisplayID (Нет файла)
FirewallRules: [{CFAAE252-04C6-4CF8-A4EB-032992C2482D}] => (Allow) C:\Users\HYPERPC\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{EC7CA072-796E-4882-97A2-2C08939C8B52}] => (Allow) C:\Users\HYPERPC\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{E0414E13-6F55-4751-AA0B-E8C89E8F7769}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Far Cry 3\bin\FC3UpdaterSteam.exe => Нет файла
FirewallRules: [{EC664907-0997-4A0C-9D28-05369788159F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Far Cry 3\bin\FC3UpdaterSteam.exe => Нет файла
FirewallRules: [{B489AFC9-2487-4BB4-B7E4-EA31D3F37D6C}] => (Allow) C:\Windows\SysWOW64\PnkBstrA.exe => Нет файла
FirewallRules: [{DB6F11DD-2030-4B86-90E7-A9FAED2BCB6E}] => (Allow) C:\Windows\SysWOW64\PnkBstrA.exe => Нет файла
FirewallRules: [{EBC8F920-4EB4-49CA-A0A3-84CF34A4E0C3}] => (Allow) C:\Windows\SysWOW64\PnkBstrB.exe => Нет файла
FirewallRules: [{14EB08FF-D563-455F-86C5-A302228B19C8}] => (Allow) C:\Windows\SysWOW64\PnkBstrB.exe => Нет файла
FirewallRules: [{3F1E0F48-7B15-426C-B825-AB5A393C147C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Surviving the Aftermath\launcher\Paradox Launcher.exe => Нет файла
FirewallRules: [{2F3F1C95-7BE5-4772-B9FF-3AAB0B259A48}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Surviving the Aftermath\launcher\Paradox Launcher.exe => Нет файла
FirewallRules: [{6B0E2A39-79D4-4652-AD19-931E598EB70C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Surviving the Aftermath\launcher\Paradox Launcher.exe => Нет файла
FirewallRules: [{BFB426F3-BB6D-4D6E-9A23-05014281CB87}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Surviving the Aftermath\launcher\Paradox Launcher.exe => Нет файла
FirewallRules: [{C53BBA40-940D-4BE8-83F8-D40F6AA1FDC0}] => (Allow) C:\Program Files (x86)\Overwolf\0.187.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C12BBE90-D8E0-4817-95AD-B9611E74EF7D}] => (Allow) C:\Program Files (x86)\Overwolf\0.187.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{F70AE802-8324-4397-A693-EF682FAF6FF5}] => (Block) C:\Program Files (x86)\Overwolf\0.187.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{446CFB1D-12E3-400B-8005-6D911A4CAAEA}] => (Block) C:\Program Files (x86)\Overwolf\0.187.0.11\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[ABurmakov]

Fixlog.txt

[thyrex]

Проблема решена?

[ABurmakov]

Проблема решена. Большое спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[ABurmakov]

SecurityCheck.txt

[thyrex]

Цитата

WindowsRar 5.72.0.5625

удалите через Установку программ

 

Цитата

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.33.0.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.8.1 (1435) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.15 Внимание! Скачать обновления

выполните рекомендованное, и на этом закончим.