Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.
Printable View
Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.
Уважаемый(ая) [B]vlad.sau[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\debug\item.dat','');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('Mysa1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Извините за задержку.
Лог AdwCleaner приложил.
Карантин загрузить не получается, "Ошибка загрузки. Данный файл уже был загружен".
Архив с карантином почему-то пустой.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Повторно логи, если понадобится.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Проблема не ушла. Появилась еще какая-то дрянь.
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\sys.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Карантин загрузил. 181025_191013_quarantine_5bd21515ee349.zip
В AdwCleaner удалил все. Лог приложил.
Отправил файл на проверку в Вир. лаб.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Прикрепил.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Высокоскоростное подключение - Ярлык.lnk [2016-03-15]
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk -> (No File)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2d9c171f-d7ca-4539-b4c0-dbd06a21f9c8} <==== ATTENTION (Restriction - IP)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-3446385869-4260291199-989661773-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\SysWOW64\winver.exe
Task: {3415FF1A-9DA6-4B89-9A25-1F4C4558FE08} - \Mysa -> No File <==== ATTENTION
Task: {8B112241-A437-434D-AEAF-747DD8007204} - \Mysa3 -> No File <==== ATTENTION
Task: {AFAD4381-712A-4B33-B709-6E0897BD2754} - \Mysa2 -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Прикрепил.
Сообщите, что с проблемой?
Касперский ничего не видит. За стуки я не заметил аномального поведения машины.
До этого было пару ситуации, касперский удалял этот вирус и несколько дней ничего не видел, но потом снова обнаруживал. Флешки не подключались к машине. Буду наблюдать.
Хорошо, тему пока не закрываем ожидаем от вас новостей. Если проблема появится то предоставьте следуюший лог.
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Завтра/послезавтра отпишусь. Спасибо.
Добрый вечер. Вредоносной активности не выявлено. Тему можно закрывать.
Большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Образ приложил.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Все файлы, удаленные ранее, снова в системе. Касперский поудалял некоторые.
c:\windows\debug\item.dat
c:\windows\debug\ok.dat
Отсутствуют.
C:\Windows\System32\Tasks\ok
C:\Windows\System32\Tasks\Mysa
C:\Windows\System32\Tasks\Mysa1
C:\Windows\System32\Tasks\Mysa2
C:\Windows\System32\Tasks\Mysa3
C:\Windows\System32\sys.exe
Снова в системе.
ok & mysa1 отправил карантином
Файл сохранён как 181028_152251_virus_5bd5d44b312fd.zip
Размер файла 2979
MD5 ae0bc6ac4784a2fcf5d3058ebcdb4371
Постоянное хождение по адресам:
ca.fq520000.com:443/123.exe Программа: Local Security Authority Process
66.117.2.182/upsnew2.exe Программа: Local Security Authority Process
78.142.29.110/v1.rar Программа: Local Security Authority Process
74.222.1.38:8888/close.bat Программа: Local Security Authority Process
208.51.63.150/ups-upx.exe Программа: Local Security Authority Process
[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
zoo %SystemRoot%\DEBUG\C2.BAT
zoo %Sys32%\DRIVERS\HCW85CIR.SYS
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemRoot%\GDRV.SYS
delall %SystemRoot%\DEBUG\C2.BAT
delref %SystemDrive%\USERS\73B5~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_29485\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
restart[/CODE]
Скрипт выполнил. Карантин загрузил.
Файл сохранён как 181028_184835_ZOO_5bd604830f75a.zip
Размер файла 1916054
MD5 81d9dbab9fccfe730b32a907adda58e2
Пас virus
Загрузил еще 2 файла, которые обнаружил касперский.
Файл сохранён как 181028_184947_virus_5bd604cbc1ada.zip
upd
В 181028_184947_virus_5bd604cbc1ada.zip потерялись файлы, загрузил новый:
Файл сохранён как 181028_191447_virus_5bd60aa79fc4d.zip
Размер файла 7087222
MD5 b6b128b6015cae6549e2b4ed7ac46f40
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]