Появляется вирус mem trojan.win32.sepeh.gen, Kaspersky удалил его, но после перезагрузки он появляется опять

[reiner]

Помогите пожалуйста! Появляется вирус mem trojan.win32.sepeh.gen, Kaspersky удалил его, но после перезагрузки он появляется опять. Незнаю что делать.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[reiner]

Недавно антивирус касперский нашел вирус Mem:Trojan.Win32.SEPEH.Gen. Он предложил вылечить компьютер с помощью перезагрузки, но после перезагрузки он появляется снова.

CollectionLog-2022.04.13-20.34.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Sandor]

Здравствуйте!

 

Программу

Цитата

Transmission version 3.00.0

ставили самостоятельно?

Если нет, деинсталлируйте.

 

Также деинсталлируйте через Панель управления - Удаление программ нежелательные:

Цитата

NetShield Kit

SpyHunter 5

Кнопка "Яндекс" на панели задач

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('dialersvc32');
 DeleteSchedulerTask('dialersvc32.job');
 DeleteSchedulerTask('dialersvc64');
 DeleteSchedulerTask('dialersvc64.job');
 ExecuteRepair(22);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

 

 

Файл CheckBrowserLnk.log
 из папки

Цитата

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый архив CollectionLog.zip

Изменено 14 апреля, 2022 пользователем Sandor

[reiner]

Выполнил

ClearLNK-2022.04.14_18.00.55.log

[Sandor]

23 часа назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый архив CollectionLog.zip

Ещё это, пожалуйста.

О программе Transmission version 3.00.0 ничего не ответили.

[reiner]

Программу Transmission version 3CollectionLog-2022.04.15-21.50.zip.00.0 удалил, вот файл

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[reiner]

8 часов назад, Sandor сказал:

 

 

AdwCleaner[S00].txt

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[reiner]

не получилось просканировать, сканирование зависает и все

AdwCleaner[C00].txt

 

FRST.txt Addition.txt AdwCleaner[C00].txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1252978732-963539381-1739302893-1000\...\Run: [MSpeech] => F:\MSpeech\MSpeech.exe (Нет файла)
  HKU\S-1-5-21-1252978732-963539381-1739302893-1000\...\MountPoints2: {ab96df7b-5b04-11ea-9e75-806e6f6e6963} - "D:\Bin\Instv2.exe" 
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  AutoConfigURL: [{10E6B912-79EE-474C-B121-3FAD6144ED34}] => hxxp://127.0.0.3/wpad.dat
  AutoConfigURL: [S-1-5-21-1252978732-963539381-1739302893-1000] => hxxp://127.0.0.3/wpad.dat
  ManualProxies: 0hxxp://127.0.0.3/wpad.dat
  CHR HKLM-x32\...\Chrome\Extension: [hkhkiakolggnnicallabhkobalpeplpi] - <отсутствует Path/update_url>
  S3 fiddrv64; отсутствует ImagePath
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [762]
  AlternateDataStreams: C:\Windows\System32:tdsrset_i.gfc [5846]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [762]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [762]
  AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Admin\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Admin\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [762]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9752]
  FirewallRules: [{228A7561-0D23-4B3D-89E4-2C39806A6B03}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯塜㔹煉攮數 => Нет файла
  FirewallRules: [{D2DDDD96-949C-4720-8DD3-94E73586C59F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{B1E9E4DB-4915-47BF-84F3-97A07E59079B}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{23CD8F5E-A2B7-4E26-BBFF-39FDA609642B}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䩜㕕⹡硥e => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[reiner]

Все сделал по инструкции, но Fixlog.txt не появился

 

[Sandor]

Исполняемый файл у вас находится в папке "Загрузки"

Цитата

C:\Users\Admin\Downloads\FRST64 (1).exe

Запускали оттуда? Там и поищите.

[reiner]

Все сделал по инструкции, но Fixlog.txt не появился

 

Fixlog.txt