Перейти к содержанию
Правила раздела

MEM: Trojan.Win32.SEPEH.gen лечится, затем востанавливается

Filip2p

Автор Filip2p
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Filip2p

Filip2p

Опубликовано
Опубликовано

Здравствуйте. Вот уже продолжительное время борюсь с скрытой угрозой MEM: Trojan.Win32.SEPEH.gen. Пользуюсь Kspesky free. Переодически антивирус находит вирус, пробовал разные метоты лечения. Но вирус востанавливается и вновь съедает ресурсы ПК. Краем глаза, иногда, замечаю как на долю секунды открывается командная строка (предположение) и исчезает. Пользуюсь ноутбуком, в простое куллера шумят на всю, стоит активировать ноутбук шум прекращается. Просканировал пк Farbar может пригодиться, прежде чем создавать тему, читал форум, без помощи специалистов наврядли что получится. 

Addition.txt FRST.txt

  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • Filip2p

    16

  • Sandor

    15

  • regist

    2

Топ авторов темы

Популярные посты

regist
regist

1) Если бы вы внимательно читали инструкцию, то прочли бы что на время сканирования антивирус надо отключать. 2) Только что перепроверил касперским он не блокируется. Если у вас иначе, то

Sandor
Sandor

Здравствуйте!   Начните со стандартных логов по правилам раздела: Порядок оформления запроса о помощи

Sandor
Sandor

Вы ведь ранее это уже делали:   Вот инструкция: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместиму

Изображения в теме

Filip2p

Filip2p

Опубликовано
  • Автор
Опубликовано

Автологер не запускается, блокируется антивирусом. А то что сканирование выполнялось Farbar Recovery Scan Tool не поможет? 

2023-05-03_14-55-20.png

regist

regist

Опубликовано
Опубликовано
4 часа назад, Filip2p сказал:

Автологер не запускается, блокируется антивирусом.

1) Если бы вы внимательно читали инструкцию, то прочли бы что на время сканирования антивирус надо отключать.

2)

13 часов назад, Filip2p сказал:

Пользуюсь Kspesky free.

Только что перепроверил касперским он не блокируется. Если у вас иначе, то хотя бы скрин покажите.

 

3) Пользуетесь вы по факту 3-мя антивирусами из-за чего у вас разумеется проблемы. Когда столько стоит в системе, то даже и без логов понятно что будут проблемы. А тем более если там ещё оптимизаторы.

 

Так что удаляйте Symantec Endpoint Protection, Kerish Doctor. А затем строго по правилам раздела.

  • Like (+1) 2
Filip2p

Filip2p

Опубликовано
  • Автор
Опубликовано
9 часов назад, regist сказал:

Так что удаляйте Symantec Endpoint Protection, Kerish Doctor. А затем строго по правилам раздела.

 Автологер запустился, и сам предупредил что бы приостановили защиту антивирусом. Но спасибо, что напомнили. Дело не оптимизаторе или антивирусе. Что-то стороннее запускается через svhost (предположение, когда пытался словить, один раз каспер удалил вирус, а керишь после перезагрузки восстановил удаленный файл svhost 4, название файла может быть не точным). Теперь антивирус переодически находит выше описсаный вирус, лечит его, но он по новой. Где он прячется ума не преложу. 

Sandor

Sandor

Опубликовано
Опубликовано
11 часов назад, regist сказал:

удаляйте Symantec Endpoint Protection, Kerish Doctor

Удалили?

regist

regist

Опубликовано
Опубликовано

@Filip2p можете сами предполагать сколько угодно, но без нас. Либо можете оперативно решить свою проблему, но для этого надо в точности следовать тому что здесь пишут и правилам раздела.

Filip2p

Filip2p

Опубликовано
  • Автор
Опубликовано
7 часов назад, Sandor сказал:

Удалили?

Saymantech удалил, Kerish отключил. Логи прикрепил. Удалял во время логирования. Сейчас буду ставить логирование на чистую, следуя вашим рекомендациям, я правильно понял что керишь обязательно удалить, просто отключить на время логирования не получится?

 

5 часов назад, regist сказал:

следовать тому что здесь пишут и правилам раздела

Разве мои предположения не были полезны? Если бы специалисты не посмотрели логи farbar. Кто бы сказал что Керишь и саймантек лишние...

CollectionLog-2023.05.04-15.12.zip

Sandor

Sandor

Опубликовано
Опубликовано
13 часов назад, Filip2p сказал:

Saymantech удалил

Следы ещё видны.

Очистите по соотв. инструкции: Чистка системы после некорректного удаления антивируса.

 

13 часов назад, Filip2p сказал:

Kerish отключил

Почему не удалили? Удалите, пользы от неё нет.

 

После этих процедур перезагрузите компьютер и соберите новый архив CollectionLog.

Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Autofix - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /ui (file missing)
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /analyze (file missing)
O22 - Tasks: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Processor - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe /submit (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Autofix - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /ui (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /analyze (file missing)
O22 - Tasks_Migrated: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Processor - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.5569.2100.105\Bin\SymErr.exe /submit (file missing)

 

Перезагрузите компьютер.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Filip2p

Filip2p

Опубликовано
  • Автор
Опубликовано (изменено)

 "Удалите старые и соберите новые логи FRST.txt и Addition.txt"

Не совсем понимаю как это сделать. Сделал, как обычно, автологером, после фикса, все строки присутствовали.

CollectionLog-2023.05.11-20.56.zip

Изменено пользователем Filip2p
Sandor

Sandor

Опубликовано
Опубликовано
14 часов назад, Filip2p сказал:

Не совсем понимаю как это сделать

Вы ведь ранее это уже делали:

03.05.2023 в 10:33, Filip2p сказал:

Просканировал пк Farbar может пригодиться

 

Вот инструкция:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Kerish Doctor 2023 по-прежнему в перечне установленных. Удалите, он бесполезен.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1057206102-1305735596-770578909-1001\...\MountPoints2: {b2892823-2fbf-11eb-a342-3c2c30e33372} - "G:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
Hosts:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1057206102-1305735596-770578909-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически. Выполнение скрипта может занять длительное время (до получаса). Дождитесь окончания.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...