MEM:Trojan.Win32.SEPEH.gen, полученый с &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a

[VasyaOK]

Вчера вечером пытался активировать закончившуюся лицензию Windows активатором с первой ссылке гугла:

Код:

+++kms-auto.pro+++

. Стандартный Windows Defender не давал ему открыться, я счел это реакцией на активацию, и временно отключил защиту. После этого вирус начал ставить какие-то программы, в хроме и едже открыл какие-то страницы, начал скрывать некоторые ярлыки с рабочего стола, и делать копии ярлыков с путем на непонятные батники в раздел browser (или browsers). Зашел в безопасный режим сразу и начал чистить CCLeaner, CureIt, бесплатными утилитами Касперского и Malwarebytes.

По итогу на сейчас:
1. Касперский в системной памяти находит MEM:Trojan.Win32.SEPEH.gen каждый раз и не может его вылечить (на выбор или вылечить или пропустить).
2. При обычной загрузке системы, утилиты от Malwarebytes и Autologger виснут намертво спустя 5 секунд после запуска (по этому логи прикладываю из безопасного режима).
3. Chrome не открывается совсем, висят процессы, один из которых приостанавливается постоянно. Анинсталлер его тоже нормально не работает, не показывает прогресс, только говорит что закончил. И переустановка никак не помогла. И постоянно запуск хрома сопровождается windows 32 bit installer в процессах который тоже приостанавливается сам по себе.
4. Остальные браузеры (edge, ie, yandex) намертво зависают через рандомное количество времени.
5. Иногда пропадает инпут через клавиатуру (возможно связано с зависанием браузеров).

Заранее благодарен за помощь.

[Info_bot]

Уважаемый(ая) VasyaOK, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 StopService('YmJiNzk2NjUyMWJl');
 QuarantineFile('C:\Program Files\YTY5MTUwNWI1MGE\ODFkYzBiMDVlZ.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\YmJiNzk2NjUyMWJl', '');
 QuarantineFileF('c:\program files\yty5mtuwnwi1mge', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\Program Files\YTY5MTUwNWI1MGE\ODFkYzBiMDVlZ.exe', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\YmJiNzk2NjUyMWJl', '64');
 DeleteService('ritigpuv');
 DeleteService('YmJiNzk2NjUyMWJl');
 DeleteService('YTY5MTUwNWI1MGE');
 DeleteFileMask('c:\program files\yty5mtuwnwi1mge', '*', true);
 DeleteDirectory('c:\program files\yty5mtuwnwi1mge');
 DeleteSchedulerTask('{1F2C691B-12D8-EF19-8C85-682FC39D4327}');
 DeleteSchedulerTask('{CFD51625-96FC-76CF-49E4-7F217D240FA9}');
 DeleteSchedulerTask('TinyTakeUpgrade');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [h] "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk"          -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>> [h] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"      -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]
>>> [RO][s] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Тanks.lnk"      -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnualtow.bat"]
>>> [RO][s] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Warships\Wоrld оf Warshiрs.lnk"          -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnualswow.bat"]
>>> [RO][s] "C:\Users\Public\Desktop\Прилoжение Вlizzard.lnk"          -> ["C:\Users\Public\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Destiny 2\Dеstiny 2.lnk"           -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual 2 ynitsed.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Еpic Games Launсhеr.lnk"           -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnualsemagcipe.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone\Неаrthstоne.lnk"       -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual ateb enotshtraeh.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overwatch\Оvеrwatсh.lnk"           -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual hctawrevo.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TunnelBear\ТunnelBеar.lnk"         -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.iu.raeblennut.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft\Wоrld of Wаrсraft.lnk"     -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual tfarcraw fo dlrow.bat"]
>>> [RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Приложение Blizzard\Прилoжение Вlizzard.lnk"           -> ["C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Research\Digital Video Repair\Digital Video Repair.lnk"          -> ["D:\GoProApp\Digital Video Repair\dvr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Research\Digital Video Repair\Readme.lnk"    -> ["D:\GoProApp\Digital Video Repair\readme.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Research\Digital Video Repair\License.lnk"   -> ["D:\GoProApp\Digital Video Repair\License.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Research\Digital Video Repair\FAAD.lnk"      -> ["D:\GoProApp\Digital Video Repair\libfaad2 NOTICE.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Research\Digital Video Repair\Uninstall.lnk"           -> ["D:\GoProApp\Digital Video Repair\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AAct - Windows & Office Activator.lnk"    -> ["C:\Windows\AAct.exe"]

Отчёт о работе прикрепите.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[VasyaOK]

Карантин загрузил. Вот логи.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\PROGRAM FILES\YTY5MTUWNWI1MGE\ODFKYZBIMDVLZ.EXE
addsgn 1A8D429A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2883918DAB058289E671AC70675F8 8 Adware.Wajam [Malwarebytes] 7

zoo %SystemRoot%\FOYEXCCD.FOYE
addsgn A7679B1928664D070E3C69B464C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9F749D495304E4406B68F7520FDC284D8A0442473A4EF38139AA2 16 HEUR/QVM30.1.8139.Malware.Gen [Qihoo-36 7

chklst
delvir
deltsk %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\SETUP\OVERSEER.EXE
apply
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Если логи не влезают - не удаляйте вложения из текущей темы, лучше загрузите в доступное облачное хранилище или на файлообменник без капчи и рекламы и дайте ссылку.

[VasyaOK]

Карантин загрузил, логи залил.
https://ufile.io/l9rla

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[VasyaOK]

Вот
https://ufile.io/2i2hq

upd: я сохранил утилиту не на рабочий стол. переделать или не надо?

[Vvvyg]

Сохраните файл из вложения в папку с FRST64.exe:
fixlist.txt
Запустите FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[VasyaOK]

Лог: https://ufile.io/jcucw

По быстрому скану Касперского все чисто! По CureIt тоже. Adw клинер нашел что-то в реестре (лог: https://ufile.io/r9yp5).

Хром не запускался, еще раз удалил, установил, работает.

Спасибо Вам большое! Очень выручили!

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[VasyaOK]

лог с секьюрити чека https://ufile.io/8ufy0

upd: лог с adwcleaner https://ufile.io/pub63 (чистый)

[Vvvyg]

--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
iTunes v.12.7.0.166 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 28 PPAPI v.28.0.0.161 Внимание! Скачать обновления

Обновите эти приложения.
Удалите программу WhiteClick LLC.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И всё на этом.

[VasyaOK]

Удалите программу WhiteClick LLC.

Она скорее всего поставилась в этот раз во время инфицирования. Пытаюсь удалить через инсталер и ccleaner выдает:white_delete.PNG

Значит ее уже удалило при чистке? Можете пожалуйста дать какие-то рекомендации по этому поводу?

[Vvvyg]

Примените такой fixlist.txt в FRST64:

Код:

CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}" /f /reg:32

Новый Fixlog.txt прикрепите.

[VasyaOK]

https://ufile.io/4wix3

[Vvvyg]

Запись об установке этой программы удалена из реестра.
Обновили, то что SecurityCheck предлагал?

[VasyaOK]

Обновил. Спасибо большое еще раз!

[Vvvyg]

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 10
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\program files\yty5mtuwnwi1mge\odfkyzbimdvlz.exe - not-a-v=
     irus:HEUR:AdWare.Win32.Wajam.gen
  2. c:\program files\yty5mtuwnwi1mge\zmnhodzmzmy1nzzkngvk.exe - =
     not-a-virus:HEUR:AdWare.Win32.Wajam.gen
  3. c:\windows\system32\drivers\ymjinzk2njuymwjl - not-a-virus:=
     HEUR:AdWare.Win32.Wajam.gen
  4. \foyexccd.foye._6a538af046bc4e10d079c584ccb75fc3e4 a42009 - not=
     -a-virus:AdWare.Win32.Wajam.bpdp
  5. \odfkyzbimdvlz.exe._e0c4b6f80b69a3739382e76a41cae7 0635cf0341 - [B=
     ]not-a-virus:HEUR:AdWare.Win32.Wajam.gen[/B]