MEM:Trojan.Win32.SEPEH.gen

[ignatknyazzef 0]

Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 

CollectionLog-2022.01.09-14.00.zip

[Sandor 1 252]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

MediaGet

vnktoаktе_DJ

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('nslooksvc32');
 DeleteSchedulerTask('nslooksvc32.job');
 DeleteSchedulerTask('nslooksvc64');
 DeleteSchedulerTask('nslooksvc64.job');
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

 

[ignatknyazzef 0]

Logs.rar

[Sandor 1 252]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ignatknyazzef 0]

kasper.rar

[Sandor 1 252]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {3ea1b734-9cbd-11e9-8a11-7085c2a690fa} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {69199d82-8391-11ea-8bbf-7085c2a690fa} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {69199da5-8391-11ea-8bbf-7085c2a690fa} - "E:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPyzekd5WAte4qFZNcevrV94XwHqljPlkE8SQxnr1WcznoqNerFFFfS6qx1ahjgwUNE5-TFZrpyBJbNM3Ay0Pr1Fwtjxmg6-pI_PanPeNkw-8d2guwZgpUUConse775cwYxUfoBTeCKkXFeE9fgBf7_r7YHiDdAz&q={searchTerms}
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnplhahbcoldbildffdchneaepapccbn
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
  HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\Software\Classes\regfile: regedit.exe "%1" <==== ВНИМАНИЕ
  HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPyzekd5WAte4qFZNcevrV94XwHqljPlkE8SQxnr1WcznoqNerFFFfS6qx1ahjgwUNE57p6IRMZCUU6jZLyuN7MOjRxdlu0jKkheJRIyiaObfFmDYlfBWDYsiT6KFY3smNj7gIRDIlClyT1m0mzb8GNqnS9vp-k_&q={searchTerms}
  FirewallRules: [{F78B1402-D0EB-4ADB-8CCC-82FBFEE8E976}] => (Allow) LPort=25565
  FirewallRules: [{D39AD068-41CA-4AAA-B139-629EC4BC5149}] => (Allow) LPort=25565
  FirewallRules: [{CDC7F2ED-6EE7-42F0-884E-4B15CC0AAE9C}] => (Allow) LPort=25565
  FirewallRules: [{E0983F4F-2DE5-4036-BB0A-F57DC77F8F90}] => (Allow) LPort=25565
  FirewallRules: [{020F5208-07D5-4FB2-AB33-9ED73ACAC18E}] => (Allow) LPort=25565
  FirewallRules: [{D55053AB-B693-489C-A543-225CBE9E0B68}] => (Allow) LPort=80
  FirewallRules: [{F97B700B-AF00-4466-93CF-BD1A353237F8}] => (Allow) LPort=27015
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ignatknyazzef 0]

Fixlog.txt

[Sandor 1 252]

Ещё один скрипт, пожалуйста, выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions|dll
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|D:\Games\ds\stalcraft
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ExLoader
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.7007
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.26115
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.7942
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.12382
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|rundll32.exe
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ignatknyazzef 0]

Fixlog.txt

[Sandor 1 252]

Хорошо. Что сейчас с проблемой?

[ignatknyazzef 0]

[Sandor 1 252]

Устранить средствами самого антивируса с перезагрузкой пробовали?

[ignatknyazzef 0]

Спасибо огромное, помогло!

[Sandor 1 252]

Хорошо. В завершение:

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ignatknyazzef 0]

SecurityCheck.txt