MEM:Trojan.Win32.SEPEM.gen

Printable View

Показывать 40 сообщений этой темы на одной странице

27.10.2019, 20:59
L@MER

Вложений: 1

MEM:Trojan.Win32.SEPEM.gen

Касперский нашел MEM:Trojan.Win32.SEPEM.gen.
Удалить не может.
Прошу помощи.
Необходимые файлы во вложении.
27.10.2019, 21:02
Info_bot

Уважаемый(ая) [B]L@MER[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.11.2019, 07:11
SQ

Здравствуйте,

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O2 - HKLM\..\BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - HKLM\..\BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)
O23 - Service S2: Google Update Service (gupdate1c9f0472d83cc13) - (gupdate1c9f0472d83cc13) - (no file)
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - (no file)
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteRepair(10);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
P.S. если у Вас ОС: Windows XP то используете пожалуйста последнюю поддерживаемую версию [URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/files/851/"]AdwCleaner[/URL].
07.11.2019, 20:44
L@MER

Вложений: 1

Здравствуйте

Спасибо за поддержку.
Отчет приложил.
07.11.2019, 21:06
SQ

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
08.11.2019, 20:16
L@MER

Вложений: 1

Сделал. Отчет во вложении.
08.11.2019, 20:55
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
09.11.2019, 22:08
L@MER

Вложений: 2

Отправляю оба файла
10.11.2019, 00:27
SQ

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [] => [X]
HKLM\...\Run: [UserFaultCheck] => %systemroot%\system32\dumprep 0 -u
HKU\S-1-5-21-527237240-746137067-725345543-1003\...\MountPoints2: {b1ac170b-78e0-11dc-b676-ff3bcfa7cb66} - basdqj.exe
File: C:\WINDOWS\AutoKMS\AutoKMS.exe
File: C:\Program Files\Solo9\SoloRes.dll
File: C:\WINDOWS\system32\SHELL32.dll
CHR HKLM\...\Chrome\Extension: [dchlnpcodkpfdpacogkljefecpegganj] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [jagncdcchgajhfhijbbhecadmaiegcmh] - <no Path/update_url>
CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - <no Path/update_url>
File: C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
File: C:\WINDOWS\system32\drivers\aslm75.sys
File: C:\WINDOWS\System32\giveio.sys
File: C:\Windows\System32\Drivers\GVCplDrv.sys
File: C:\WINDOWS\system32\winio.sys
Zip: C:\WINDOWS\system32\winio.sys;C:\Windows\System32\Drivers\GVCplDrv.sys;C:\WINDOWS\System32\giveio.sys;C:\WINDOWS\system32\drivers\aslm75.sys
File: C:\Documents and Settings\Нестеров\Application Data\ezpinst.exe
File: C:\WINDOWS\system32\sptlib01.dll
File: C:\WINDOWS\system32\XMNT2001.EXE
File: C:\WINDOWS\system32\tx11.dll
File: C:\WINDOWS\mbUtil.dll
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1796A329-04C1-4C07-B28E-E4A807935C06}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1A239250-B650-4B63-B4CF-7FCC4DC07DC6}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1AEDB68D-18A7-4CA9-B41B-3CE7E59FAB24}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{42DF0D46-7D49-4AE5-8EF6-9CA6E41EFEC1}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{63E6BE14-A742-4EEA-8AF3-0EC39F10F850}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{645EEE5A-BD51-4C05-A6AF-6F2CF8950AAB}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{77C4C807-E257-43AD-BB3F-7CA88760BD29}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{8097D7E9-DB9E-4AEF-9B28-61D82A1DF784}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{9059C329-4661-49B2-9984-8753C45DB7B9}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{998FA181-D5BB-4548-9CB6-7FC105A0A327}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{A2D4475B-C9AA-48E2-A029-1DB829DACF7B}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{A4F65992-5738-475B-9C16-CF102BCDE153}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{AFD07A5E-3E20-4D77-825C-2F6D1A50BE5B}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{B153D707-447A-4538-913E-6146B3FDEE02}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{D93BF052-FC68-4DB6-A4F8-A4DC9BEEB1C0}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{DB450005-9764-11D6-819E-005056C00008}\localserver32 -> no filepath
CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{F4F7B301-7C59-4851-BA97-C51F110B590F}\InprocServer32 -> no filepath
ContextMenuHandlers1: [MyPhoneExplorer] -> {A372C6DF-7A85-41B1-B3B0-D1E24073DCBF} => -> No File
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
10.11.2019, 10:48
L@MER

Вложений: 1

Файл fixlog во вложении
10.11.2019, 19:05
SQ

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
10.11.2019, 20:38
L@MER

Вложений: 1

Во вложении
10.11.2019, 22:49
SQ

Уточните пожалуйста если у Вас установлено обновление KB4012598 закрывающее [URL="https://www.microsoft.com/en-us/download/details.aspx?id=55245"]уязвимость SMB[/URL].
11.11.2019, 21:51
L@MER

Нет, не установлено.
12.11.2019, 03:50
SQ

1) Если компьютер отсоединить от сети, проблема воспроизводиться?
2) Уточните у Вас прямой доступ к интернету и открыты шары (порт SMB)?

P.S. Если открыт, то попробуйте их закрыть и установить все критические обновления.
12.11.2019, 19:43
L@MER

[QUOTE=SQ;1506029]

1) Если компьютер отсоединить от сети, проблема воспроизводиться?
2) Уточните у Вас прямой доступ к интернету и открыты шары (порт SMB)?

P.S. Если открыт, то попробуйте их закрыть и установить все критические обновления.[/QUOTE]

Отсоединил, проблема воспроизводится.
У меня маршрутизатор ZYXEL KEENETIC GIGA.
Где посмотреть открыты шары (порт SMB) или нет?
12.11.2019, 20:51
SQ

[QUOTE=L@MER;1506041]
Где посмотреть открыты шары (порт SMB) или нет?[/QUOTE]

Я не знаком с указанным маршрутизатором, необходимо проверить DMZ или Port-forwarding. Проверьте если ваш компьютер доступен из интернета, например перепросили какие-то порты.

Могли бы предоставить пожалуйста следующий лог: [URL="https://support.kaspersky.ru/common/diagnostics/3632"]GSI-отчет[/URL].
13.11.2019, 17:09
SQ

Здравствуйте,

Мне тут коллега подсказал, что похожая проблема была выявлена на [URL="https://forum.kasperskyclub.ru/index.php?showtopic=64008&page=3"]стороннем форуме[/URL], и как оказалось проблема была в активаторе, цитирую:
[QUOTE]Наши специалисты сообщили, что детектирование файла происходит потому, что «c:\windows\autokms\autokms.exe» внедряется в vbc.exe для целей, не связанных с вредоносным ПО, а для активации нелегальной копии Windows с использованием высоких привилегий процесса vbc.exe. Чтобы остановить обнаружение, мы рекомендуем не использовать эту KMS и удалить соответствующую задачу из планировщика задач.[/QUOTE]
14.11.2019, 21:23
L@MER

Здравствуйте

Проверил - компьютер из интернета не доступен. Никаких пробросанных портов нет.
Винда активирована ключем. Офис да, периодически активируется "KMS", но уже несколько лет и проблем ранее не вылезало.
Отчет прилагаю. Большой архив, на форум не лезет. Даю ссылку.[URL="https://yadi.sk/d/ebYlFco_ajR8Bw"]https://yadi.sk/d/ebYlFco_ajR8Bw[/URL]
15.11.2019, 05:37
SQ

А если попробовать временно отключить в планировщике задач следующую задачу, проблема проявляется?
[CODE]Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\WINDOWS\AutoKMS\AutoKMS.exe[/CODE]

Показывать 40 сообщений этой темы на одной странице