Перейти к содержанию

[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Здравствуйте! 
Случилась такая ситуация:  украли крипту с кошелька Exodus, пошел разбираться с чем это связанно.
После проверки KVRT нашел неудаляемый  MEM:Trojan.Win32.SEPEH.gen. 
Из поиска по форуму я понял что без помощи специалиста мне не разобраться. 
Прикрепляю файл логов из программы AutoLogger, и логи от Farbar Recovery Scan Tool (тк из предыдущих тем я понял что они нужны).

Заранее вам огромное спасибо!

CollectionLog-2022.12.22-18.37.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','');
 DeleteFile('C:\Users\Roman Panfilov\AppData\Roaming\Cihdf\Sqixzw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sqixzw','x64');
 DeleteSchedulerTask('InfoProtectorNetCacheCleanerTask');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    2022-12-22 19:23 - 2022-04-11 15:15 - 000000000 ____D C:\Users\Roman Panfilov\AppData\Roaming\Cihdf
    FirewallRules: [TCP Query User{65F53919-F50E-4106-B80B-53C1D3F1D203}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    FirewallRules: [UDP Query User{96D57F09-CD61-480E-9655-81927A80F7A2}C:\windows\files\bin\kmss.exe] => (Allow) C:\windows\files\bin\kmss.exe => Нет файла
    Folder: C:\FRST\Quarantine


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Topaz Gigapixel AI - эта программа была скачена с официального сайта производителя? Откуда загружали эту программу?

 

Sqixzw.exe - HEUR:Trojan.MSIL.Agentb.gen

Изменено пользователем mike 1
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, fil_loko_lp сказал:

Пиратка с cgpeers

Скиньте ссылку на нее в ЛС. 

 

2 минуты назад, fil_loko_lp сказал:

Через нее у меня битки и утащили как я понимаю?

Скорее всего да. Рекомендую сменить пароли и включить 2FA. 

 

3 минуты назад, fil_loko_lp сказал:

Руками ее удалить или есть какие-то более умные способы?

Антивирус скоро начнет детектировать этот файл при следующим обновлении антивирусных баз.

 

image.png

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Если я вас верно понял, мне необходимо установить Антивирус Касперского, дождаться обновления антивирусных баз, далее удалить вирус. И после этого уже менять пароли. Верно?

PS:
Спасибо вам огромное за помощь! 

Ссылка на сообщение
Поделиться на другие сайты

Вирус уже удален скриптом. Второй файл с валидной подписью и не похоже, что инфицирован. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

 

 

+ Пришлите в архиве содержимое папки C:\KVRT_Data в архиве с паролем virus

Ссылка на сообщение
Поделиться на другие сайты

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен) - лучше установить другой антивирус, например Kaspersky Security Cloud. 
 

 

AMD Software v.19.10.16 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 [+]
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Spotify v.1.1.90.859.gf1bb1e36 Внимание! Скачать обновления
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.5 Standard v.17.2.5 Внимание! Скачать обновления
Yandex v.22.11.0.2500 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Ссылка на сообщение
Поделиться на другие сайты

Еще раз большое спасибо за помощь!
Установил Касперский, остальное обновил.

Изменено пользователем fil_loko_lp
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ArCtic
      От ArCtic
      Здравствуйте! Помогите, пожалуйста, избавиться от  последствий вируса, который не давал запустить любую утилиту антивируса. Сам вирус уже удален, но папки от него остались. Открыть и удалить их не выходит.

      CollectionLog-2024.08.25-09.23.zip
    • T23
      От T23
      Пж помогите решить проблему.

    • Сергей Владивостокский
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Пантелеймон
      От Пантелеймон
      Добрый день! 
      Подхватил вирус удаленного доступа 
      Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
      Переустановка Винды не помогла 
      Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
      Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
      Хотелось бы изгнать этого нарушителя, с вашей помощью
      CollectionLog-2024.08.16-11.23.zip
    • Specture
      От Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

×
×
  • Создать...