Страница 3 из 3 Первая 123
Показано с 41 по 52 из 52.

Помогите удалить MEM:Trojan/Win32.SEPEH.gen (заявка № 221269)

  1. #41
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    Здравствуйте,

    Я процитировал сообщение от ЛК, но мне кажется все таки это ложное срабатывание, вы главное сами ничего не удаляйте, я подготовил новый фикс FRST для анализа теории ЛК.

    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      Start::
      CreateRestorePoint:
      CloseProcesses:
      File: C:\WINDOWS\System32\drivers\7538B094.sys
      Zip: C:\WINDOWS\System32\drivers\7538B094.sys
      Folder: C:\DOCUME~1\user\LOCALS~1\Temp
      Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
      Reboot:
      End::
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    Здравствуйте,

    Соберите необходимые логи, которые я указал в ЛС.

    Также приложите пожалуйста новые логи FRST.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  4. #43
    Junior Member Репутация
    Регистрация
    26.02.2013
    Сообщений
    71
    Вес репутации
    22

  5. #44
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      Start::
      CreateRestorePoint:
      CloseProcesses:
      Folder: C:\Documents and Settings\All Users\Application Data\s3j4
      Folder: C:\Documents and Settings\All Users\Application Data\s334
      Folder: C:\Documents and Settings\All Users\Application Data\s304
      Folder: C:\Documents and Settings\All Users\Application Data\scs
      Folder: C:\Documents and Settings\All Users\Application Data\sak
      Folder: C:\Documents and Settings\All Users\Application Data\s1ak
      File: C:\WINDOWS\system32\spmsg2.dll
      2018-12-31 16:21 - 2018-12-31 16:21 - 000000000 ____D C:\Documents and Settings\user\Application Data\DRPNPS
      File: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      Folder: C:\Program Files
      Virustotal: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      ContextMenuHandlers1_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
      ContextMenuHandlers4_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
      ContextMenuHandlers5_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{144e696e-5d45-49b9-94bd-507f7462eb84}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{1a87d67b-23d3-4b8f-9f9b-7cd30c1c95bd}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{3139de55-4560-4239-9330-2230f9b89929}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\DOCUME~1\user\APPLIC~1\GARANT~2\@com\F1Shell.dll => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{767f9370-451a-43b0-b590-d32f7b1e5f8c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{a12ffdf7-199d-4469-8c20-98a3de73ed2c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
      CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08646138.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40550724.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\54269950.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\56580713.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83720508.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08646138.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40550724.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\54269950.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\56580713.sys => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83720508.sys => ""="Driver"
      Reboot:
      End::
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  6. #45
    Junior Member Репутация
    Регистрация
    26.02.2013
    Сообщений
    71
    Вес репутации
    22

  7. #46
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      Start::
      CreateRestorePoint:
      Virustotal: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      Zip: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
      End::
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  8. #47
    Junior Member Репутация
    Регистрация
    26.02.2013
    Сообщений
    71
    Вес репутации
    22
    Файл создался. ПК не ушел в перезагрузку. Написал вот https://yadi.sk/i/PJ3Ka-SZpmlycA Файл отправил.

  9. #48
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    Отправил его на исследование, от его результата будет зависит дальнейшие действия.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  10. #49
    Junior Member Репутация
    Регистрация
    26.02.2013
    Сообщений
    71
    Вес репутации
    22
    Ясно. Жду.

  11. #50
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    Пришел ответ, о том что в файле нет вредоносного кода.
    Код:
    C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    Если он вам не известен то можете просто удалить

    Уточните пожалуйста, проблема еще проявляется?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  12. #51
    Junior Member Репутация
    Регистрация
    26.02.2013
    Сообщений
    71
    Вес репутации
    22
    После удаления файла KES сругался на https://yadi.sk/i/85XMOSKUdPYUWg ссылку на файл который ругается в архиве в личке.


    После лечения с перезагрузкой проверка важных областей проходит без обнаружения. Запущена полная проверка.

    Перед удалением (C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys) были обновлены базы Касперского.
    После полной проверки найден файл. В хранинилище следующее https://yadi.sk/i/OioJtDQRkYGnWQ. Подкинул другой диск с копией системы пока базы не обновил не находил вирус.
    Последний раз редактировалось CRASH_vs; 11.01.2019 в 16:18.

  13. #52
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,103
    Вес репутации
    270
    Спасибо за детали,

    Мне сообщили, что было в последних логах найдено вредоносное ПО и в ближайщее время будет добавлено в антивирусные сигнатуры:
    На компьютере пользователя найдена и задетектирована недетектируемая вредоносная программа (malware).
    Проблема должна устраниться в ближайшее время с выходом новых обновлений АВ баз.
    Спасибо за сотрудничество.

    - - - - -Добавлено - - - - -

    В завершение:
    1.
    • Пожалуйста, запустите adwcleaner.exe
    • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
    • Подтвердите удаление, нажав кнопку: Да.


    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Остальные утилиты лечения и папки можно просто удалить.

    - - - - -Добавлено - - - - -

    При этом важно сменить все пароли при нахождние на ПК вредоносного ПО катаегории Trojan-Spy.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

Страница 3 из 3 Первая 123

Похожие темы

  1. MEM:Trojan.Win32.SEPEH.gen
    От UksusoFF в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 24.12.2018, 11:32
  2. Ответов: 11
    Последнее сообщение: 01.12.2018, 06:48
  3. Ответов: 66
    Последнее сообщение: 29.10.2018, 05:15
  4. MEM:Trojan.Win32.SEPEH.gen
    От Mezya29 в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 17.09.2018, 15:08
  5. Ответов: 9
    Последнее сообщение: 06.08.2013, 10:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00349 seconds with 18 queries