MEM:Trojan.Win32.SEPEH.gen [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m]

**vlad.sau** · 23.10.2018, 19:49

Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.10.2018, 19:50

Уважаемый(ая) vlad.sau, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 23.10.2018, 21:55

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\debug\item.dat','');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\ok.dat','64');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('Mysa1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**vlad.sau** · 25.10.2018, 19:16

Извините за задержку.
Лог AdwCleaner приложил.
Карантин загрузить не получается, "Ошибка загрузки. Данный файл уже был загружен".
Архив с карантином почему-то пустой.

- - - - -Добавлено - - - - -

Повторно логи, если понадобится.

- - - - -Добавлено - - - - -

Проблема не ушла. Появилась еще какая-то дрянь.

SQ · 25.10.2018, 19:56

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\sys.exe','');
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**vlad.sau** · 25.10.2018, 22:12

Карантин загрузил. 181025_191013_quarantine_5bd21515ee349.zip
В AdwCleaner удалил все. Лог приложил.

SQ · 25.10.2018, 23:36

Отправил файл на проверку в Вир. лаб.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**vlad.sau** · 26.10.2018, 12:17

Прикрепил.

SQ · 26.10.2018, 17:13

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Высокоскоростное подключение - Ярлык.lnk [2016-03-15]
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk ->  (No File)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2d9c171f-d7ca-4539-b4c0-dbd06a21f9c8} <==== ATTENTION (Restriction - IP)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-3446385869-4260291199-989661773-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\SysWOW64\winver.exe
Task: {3415FF1A-9DA6-4B89-9A25-1F4C4558FE08} - \Mysa -> No File <==== ATTENTION
Task: {8B112241-A437-434D-AEAF-747DD8007204} - \Mysa3 -> No File <==== ATTENTION
Task: {AFAD4381-712A-4B33-B709-6E0897BD2754} - \Mysa2 -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**vlad.sau** · 26.10.2018, 19:26

Прикрепил.

SQ · 26.10.2018, 20:02

Сообщите, что с проблемой?

**vlad.sau** · 26.10.2018, 20:12

Касперский ничего не видит. За стуки я не заметил аномального поведения машины.
До этого было пару ситуации, касперский удалял этот вирус и несколько дней ничего не видел, но потом снова обнаруживал. Флешки не подключались к машине. Буду наблюдать.

SQ · 26.10.2018, 20:25

Хорошо, тему пока не закрываем ожидаем от вас новостей. Если проблема появится то предоставьте следуюший лог.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**vlad.sau** · 26.10.2018, 20:29

Завтра/послезавтра отпишусь. Спасибо.

**vlad.sau** · 27.10.2018, 19:28

Добрый вечер. Вредоносной активности не выявлено. Тему можно закрывать.
Большое спасибо!

**CyberHelper** · 27.10.2018, 19:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

**vlad.sau** · 28.10.2018, 18:30

Образ приложил.

- - - - -Добавлено - - - - -

Все файлы, удаленные ранее, снова в системе. Касперский поудалял некоторые.
c:\windows\debug\item.dat
c:\windows\debug\ok.dat
Отсутствуют.

C:\Windows\System32\Tasks\ok
C:\Windows\System32\Tasks\Mysa
C:\Windows\System32\Tasks\Mysa1
C:\Windows\System32\Tasks\Mysa2
C:\Windows\System32\Tasks\Mysa3
C:\Windows\System32\sys.exe
Снова в системе.

ok & mysa1 отправил карантином
Файл сохранён как 181028_152251_virus_5bd5d44b312fd.zip
Размер файла 2979
MD5 ae0bc6ac4784a2fcf5d3058ebcdb4371

Постоянное хождение по адресам:
ca.fq520000.com:443/123.exe Программа: Local Security Authority Process
66.117.2.182/upsnew2.exe Программа: Local Security Authority Process
78.142.29.110/v1.rar Программа: Local Security Authority Process
74.222.1.38:8888/close.bat Программа: Local Security Authority Process
208.51.63.150/ups-upx.exe Программа: Local Security Authority Process

SQ · 28.10.2018, 20:56

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
zoo %SystemRoot%\DEBUG\C2.BAT
zoo %Sys32%\DRIVERS\HCW85CIR.SYS
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemRoot%\GDRV.SYS
delall %SystemRoot%\DEBUG\C2.BAT
delref %SystemDrive%\USERS\73B5~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_29485\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
restart

**vlad.sau** · 28.10.2018, 21:49

Скрипт выполнил. Карантин загрузил.
Файл сохранён как 181028_184835_ZOO_5bd604830f75a.zip
Размер файла 1916054
MD5 81d9dbab9fccfe730b32a907adda58e2
Пас virus

Загрузил еще 2 файла, которые обнаружил касперский.
Файл сохранён как 181028_184947_virus_5bd604cbc1ada.zip

upd
В 181028_184947_virus_5bd604cbc1ada.zip потерялись файлы, загрузил новый:
Файл сохранён как 181028_191447_virus_5bd60aa79fc4d.zip
Размер файла 7087222
MD5 b6b128b6015cae6549e2b4ed7ac46f40

SQ · 28.10.2018, 22:57

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

MEM:Trojan.Win32.SEPEH.gen [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m] (заявка № 220651)

Опции темы