Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen

fil_loko_lp

Автор fil_loko_lp
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

fil_loko_lp

fil_loko_lp

Опубликовано
Опубликовано

Здравствуйте! 
Случилась такая ситуация:  украли крипту с кошелька Exodus, пошел разбираться с чем это связанно.
После проверки KVRT нашел неудаляемый  MEM:Trojan.Win32.SEPEH.gen. 
Из поиска по форуму я понял что без помощи специалиста мне не разобраться. 
Прикрепляю файл логов из программы AutoLogger, и логи от Farbar Recovery Scan Tool (тк из предыдущих тем я понял что они нужны).

Заранее вам огромное спасибо!

CollectionLog-2022.12.22-18.37.zip Addition.txt FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 QuarantineFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','');
 DeleteFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x64');
 DeleteSchedulerTask('InfoProtectorNetCacheCleanerTask');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

  • Like (+1) 1
mike 1

mike 1

Опубликовано
Опубликовано

Карантин получил. Сделайте новые логи frst.txt, addition.txt

  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
2022-12-22 19:23 - 2022-04-11 15:15 - 000000000 ____D C:\Users\Roman Panfilov\AppData\Roaming\Cihdf
FirewallRules: [TCP Query User{65F53919-F50E-4106-B80B-53C1D3F1D203}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [UDP Query User{96D57F09-CD61-480E-9655-81927A80F7A2}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
Folder: C:\FRST\Quarantine


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

  • Like (+1) 1
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Topaz Gigapixel AI - эта программа была скачена с официального сайта производителя? Откуда загружали эту программу?

 

Sqixzw.exe - HEUR:Trojan.MSIL.Agentb.gen

Изменено пользователем mike 1
  • Like (+1) 1
fil_loko_lp

fil_loko_lp

Опубликовано
  • Автор
Опубликовано

Пиратка с cgpeers. Через нее у меня битки и утащили как я понимаю?
Руками ее удалить или есть какие-то более умные способы?

mike 1

mike 1

Опубликовано
Опубликовано
2 минуты назад, fil_loko_lp сказал:

Пиратка с cgpeers

Скиньте ссылку на нее в ЛС. 

 

2 минуты назад, fil_loko_lp сказал:

Через нее у меня битки и утащили как я понимаю?

Скорее всего да. Рекомендую сменить пароли и включить 2FA. 

 

3 минуты назад, fil_loko_lp сказал:

Руками ее удалить или есть какие-то более умные способы?

Антивирус скоро начнет детектировать этот файл при следующим обновлении антивирусных баз.

 

image.png

  • Like (+1) 1
fil_loko_lp

fil_loko_lp

Опубликовано
  • Автор
Опубликовано

Если я вас верно понял, мне необходимо установить Антивирус Касперского, дождаться обновления антивирусных баз, далее удалить вирус. И после этого уже менять пароли. Верно?

PS:
Спасибо вам огромное за помощь! 

mike 1

mike 1

Опубликовано
Опубликовано

Вирус уже удален скриптом. Второй файл с валидной подписью и не похоже, что инфицирован. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

 

+ Пришлите в архиве содержимое папки C:\KVRT_Data в архиве с паролем virus

mike 1

mike 1

Опубликовано
Опубликовано

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен) - лучше установить другой антивирус, например Kaspersky Security Cloud. 
 

 

AMD Software v.19.10.16 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 [+]
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Spotify v.1.1.90.859.gf1bb1e36 Внимание! Скачать обновления
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Standard v.17.2.5 Внимание! Скачать обновления
Yandex v.22.11.0.2500 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

fil_loko_lp

fil_loko_lp

Опубликовано
  • Автор
Опубликовано (изменено)

Еще раз большое спасибо за помощь!
Установил Касперский, остальное обновил.

Изменено пользователем fil_loko_lp
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zhivitchenko14
      Долго загружаются иконки в панели задач, параллельно автоматически не подключается к вай-фай (и делает это долго)
      Автор Zhivitchenko14
      Добрый день!
      Долго прогружаются иконки + сбрасывается подключение к вай-фай и подключается к нему долго (думаю, это как следствие основной проблемы)
      Также в журнале событий завершаются службы bits и UsoSvc
      По опыту предыдущего запроса на другом компе я скачал программу и просканировал комп
      Файлы логов во вложении в архиве
      Прошу помочь!
      Логи(05.06.2026).7z
    • Moongaze
      [РЕШЕНО] Еще один Trojan:PowerShell/Bynoco.RR!ams
      Автор Moongaze
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      Windows defender его видимо удаляет, но он появляется заново. Раз в минуту моргает отображение, иногда две штуки показывает сразу, иногда ни одного.

      Возможный дубль 





    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • Vladimir752
      [РЕШЕНО] Trojan:PowerShell/Bynoco.RR!ams
      Автор Vladimir752
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      CollectionLog-2026.04.11-13.59.zip 
      SecurityCheck.txt

    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
×
×
  • Создать...