Перейти к содержанию

[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen


fil_loko_lp

Рекомендуемые сообщения

Здравствуйте! 
Случилась такая ситуация:  украли крипту с кошелька Exodus, пошел разбираться с чем это связанно.
После проверки KVRT нашел неудаляемый  MEM:Trojan.Win32.SEPEH.gen. 
Из поиска по форуму я понял что без помощи специалиста мне не разобраться. 
Прикрепляю файл логов из программы AutoLogger, и логи от Farbar Recovery Scan Tool (тк из предыдущих тем я понял что они нужны).

Заранее вам огромное спасибо!

CollectionLog-2022.12.22-18.37.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','');
 DeleteFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x64');
 DeleteSchedulerTask('InfoProtectorNetCacheCleanerTask');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    2022-12-22 19:23 - 2022-04-11 15:15 - 000000000 ____D C:\Users\Roman Panfilov\AppData\Roaming\Cihdf
    FirewallRules: [TCP Query User{65F53919-F50E-4106-B80B-53C1D3F1D203}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    FirewallRules: [UDP Query User{96D57F09-CD61-480E-9655-81927A80F7A2}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    Folder: C:\FRST\Quarantine


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Topaz Gigapixel AI - эта программа была скачена с официального сайта производителя? Откуда загружали эту программу?

 

Sqixzw.exe - HEUR:Trojan.MSIL.Agentb.gen

Изменено пользователем mike 1
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, fil_loko_lp сказал:

Пиратка с cgpeers

Скиньте ссылку на нее в ЛС. 

 

2 минуты назад, fil_loko_lp сказал:

Через нее у меня битки и утащили как я понимаю?

Скорее всего да. Рекомендую сменить пароли и включить 2FA. 

 

3 минуты назад, fil_loko_lp сказал:

Руками ее удалить или есть какие-то более умные способы?

Антивирус скоро начнет детектировать этот файл при следующим обновлении антивирусных баз.

 

image.png

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Если я вас верно понял, мне необходимо установить Антивирус Касперского, дождаться обновления антивирусных баз, далее удалить вирус. И после этого уже менять пароли. Верно?

PS:
Спасибо вам огромное за помощь! 

Ссылка на комментарий
Поделиться на другие сайты

Вирус уже удален скриптом. Второй файл с валидной подписью и не похоже, что инфицирован. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

 

+ Пришлите в архиве содержимое папки C:\KVRT_Data в архиве с паролем virus

Ссылка на комментарий
Поделиться на другие сайты

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен) - лучше установить другой антивирус, например Kaspersky Security Cloud. 
 

 

AMD Software v.19.10.16 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 [+]
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Spotify v.1.1.90.859.gf1bb1e36 Внимание! Скачать обновления
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Standard v.17.2.5 Внимание! Скачать обновления
Yandex v.22.11.0.2500 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Ссылка на комментарий
Поделиться на другие сайты

Еще раз большое спасибо за помощь!
Установил Касперский, остальное обновил.

Изменено пользователем fil_loko_lp
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Nikita P.
      От Nikita P.
      Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

      CollectionLog-2024.12.19-23.27.zip
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
×
×
  • Создать...