Касперский нашел MEM:Trojan.Win32.SEPEM.gen.
Удалить не может.
Прошу помощи.
Необходимые файлы во вложении.
Касперский нашел MEM:Trojan.Win32.SEPEM.gen.
Удалить не может.
Прошу помощи.
Необходимые файлы во вложении.
Уважаемый(ая) L@MER, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:O2 - HKLM\..\BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file) O2 - HKLM\..\BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file) O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file) O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled) O23 - Service S2: Google Update Service (gupdate1c9f0472d83cc13) - (gupdate1c9f0472d83cc13) - (no file) O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - (no file)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteRepair(10); RebootWindows(false); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
P.S. если у Вас ОС: Windows XP то используете пожалуйста последнюю поддерживаемую версию AdwCleaner.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте
Спасибо за поддержку.
Отчет приложил.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал. Отчет во вложении.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отправляю оба файла
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [] => [X] HKLM\...\Run: [UserFaultCheck] => %systemroot%\system32\dumprep 0 -u HKU\S-1-5-21-527237240-746137067-725345543-1003\...\MountPoints2: {b1ac170b-78e0-11dc-b676-ff3bcfa7cb66} - basdqj.exe File: C:\WINDOWS\AutoKMS\AutoKMS.exe File: C:\Program Files\Solo9\SoloRes.dll File: C:\WINDOWS\system32\SHELL32.dll CHR HKLM\...\Chrome\Extension: [dchlnpcodkpfdpacogkljefecpegganj] - <no Path/update_url> CHR HKLM\...\Chrome\Extension: [jagncdcchgajhfhijbbhecadmaiegcmh] - <no Path/update_url> CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - <no Path/update_url> File: C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe File: C:\WINDOWS\system32\drivers\aslm75.sys File: C:\WINDOWS\System32\giveio.sys File: C:\Windows\System32\Drivers\GVCplDrv.sys File: C:\WINDOWS\system32\winio.sys Zip: C:\WINDOWS\system32\winio.sys;C:\Windows\System32\Drivers\GVCplDrv.sys;C:\WINDOWS\System32\giveio.sys;C:\WINDOWS\system32\drivers\aslm75.sys File: C:\Documents and Settings\Нестеров\Application Data\ezpinst.exe File: C:\WINDOWS\system32\sptlib01.dll File: C:\WINDOWS\system32\XMNT2001.EXE File: C:\WINDOWS\system32\tx11.dll File: C:\WINDOWS\mbUtil.dll CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1796A329-04C1-4C07-B28E-E4A807935C06}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1A239250-B650-4B63-B4CF-7FCC4DC07DC6}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{1AEDB68D-18A7-4CA9-B41B-3CE7E59FAB24}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{42DF0D46-7D49-4AE5-8EF6-9CA6E41EFEC1}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{63E6BE14-A742-4EEA-8AF3-0EC39F10F850}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{645EEE5A-BD51-4C05-A6AF-6F2CF8950AAB}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{77C4C807-E257-43AD-BB3F-7CA88760BD29}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{8097D7E9-DB9E-4AEF-9B28-61D82A1DF784}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{9059C329-4661-49B2-9984-8753C45DB7B9}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{998FA181-D5BB-4548-9CB6-7FC105A0A327}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{A2D4475B-C9AA-48E2-A029-1DB829DACF7B}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{A4F65992-5738-475B-9C16-CF102BCDE153}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{AFD07A5E-3E20-4D77-825C-2F6D1A50BE5B}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{B153D707-447A-4538-913E-6146B3FDEE02}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{D93BF052-FC68-4DB6-A4F8-A4DC9BEEB1C0}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{DB450005-9764-11D6-819E-005056C00008}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-527237240-746137067-725345543-1003_Classes\CLSID\{F4F7B301-7C59-4851-BA97-C51F110B590F}\InprocServer32 -> no filepath ContextMenuHandlers1: [MyPhoneExplorer] -> {A372C6DF-7A85-41B1-B3B0-D1E24073DCBF} => -> No File Reboot: End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Файл fixlog во вложении
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Во вложении
Уточните пожалуйста если у Вас установлено обновление KB4012598 закрывающее уязвимость SMB.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Нет, не установлено.
1) Если компьютер отсоединить от сети, проблема воспроизводиться?
2) Уточните у Вас прямой доступ к интернету и открыты шары (порт SMB)?
P.S. Если открыт, то попробуйте их закрыть и установить все критические обновления.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Я не знаком с указанным маршрутизатором, необходимо проверить DMZ или Port-forwarding. Проверьте если ваш компьютер доступен из интернета, например перепросили какие-то порты.
Могли бы предоставить пожалуйста следующий лог: GSI-отчет.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте,
Мне тут коллега подсказал, что похожая проблема была выявлена на стороннем форуме, и как оказалось проблема была в активаторе, цитирую:
Наши специалисты сообщили, что детектирование файла происходит потому, что «c:\windows\autokms\autokms.exe» внедряется в vbc.exe для целей, не связанных с вредоносным ПО, а для активации нелегальной копии Windows с использованием высоких привилегий процесса vbc.exe. Чтобы остановить обнаружение, мы рекомендуем не использовать эту KMS и удалить соответствующую задачу из планировщика задач.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте
Проверил - компьютер из интернета не доступен. Никаких пробросанных портов нет.
Винда активирована ключем. Офис да, периодически активируется "KMS", но уже несколько лет и проблем ранее не вылезало.
Отчет прилагаю. Большой архив, на форум не лезет. Даю ссылку.https://yadi.sk/d/ebYlFco_ajR8Bw
А если попробовать временно отключить в планировщике задач следующую задачу, проблема проявляется?
Код:Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\WINDOWS\AutoKMS\AutoKMS.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Уважаемый(ая) L@MER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.