Перейти к содержанию
Правила раздела

mem:trojan.win32.sepeh.gen

krovin

Автор krovin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

krovin Новичок

krovin

Опубликовано
Опубликовано (изменено)

доброго дня. год назад CollectionLog-2023.09.11-14.35.zipскачал архив и только недавно Kaspersky Total Secruity заметил троян. Вроде как лечит, но после перезагрузки он опять работает как svchost.exe сразу как 4-6 службы, нагружая память до 5-7К. логи выше

Изменено пользователем krovin
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
krovin Новичок

krovin

Опубликовано
  • Автор
Опубликовано (изменено)

касперский молчит. отчет фарбар ниже



изменено1: на фото, служба которой (как я предполагаю) и не было, и появились буквы с цифрами. а в диспетчере задач, свхосты запущены как от юзера.

image.png.d108a3afac7a9182c0adbaa6aec525f8.pngimage.thumb.png.22a902180f44cefc2d7ff8f1a325169f.png

отчеты.zip
 

Изменено пользователем krovin
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
30 минут назад, krovin сказал:

и появились буквы с цифрами

в этом нет ничего плохого

 

31 минуту назад, krovin сказал:

свхосты запущены как от юзера.

не показатель наличия чего-либо вирусного.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [4dcc5666-9af5-44a9-911f-97978ffb7fa4] => "C:\Users\User\AppData\Local\Temp\{4abe49f5-e3bf-4ea6-9e6c-2cd83d0ab0c0}\4dcc5666-9af5-44a9-911f-97978ffb7fa4.cmd" (Нет файла) <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [684]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [684]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [684]
AlternateDataStreams: C:\Users\User\Downloads\391.35-desktop-win10-64bit-international-whql.exe:MBAM.Zone.Identifier [130]
AlternateDataStreams: C:\Users\User\Downloads\AutoClicker-3.0.exe:MBAM.Zone.Identifier [225]
AlternateDataStreams: C:\Users\User\Downloads\bdcamsetup.exe:MBAM.Zone.Identifier [113]
AlternateDataStreams: C:\Users\User\Downloads\DirectX-Online-setup.exe:MBAM.Zone.Identifier [116]
AlternateDataStreams: C:\Users\User\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [113]
AlternateDataStreams: C:\Users\User\Downloads\GeForce_Experience_v3.27.0.112.exe:MBAM.Zone.Identifier [163]
AlternateDataStreams: C:\Users\User\Downloads\OBS-Studio-29.1.3-Full-Installer-x64.exe:MBAM.Zone.Identifier [157]
AlternateDataStreams: C:\Users\User\Downloads\Radmin_VPN_1.3.4570.5.exe:MBAM.Zone.Identifier [149]
AlternateDataStreams: C:\Users\User\Downloads\RobloxPlayerLauncher.exe:MBAM.Zone.Identifier [133]
AlternateDataStreams: C:\Users\User\Downloads\SetupTSNotifierV1.6.0h.msi:MBAM.Zone.Identifier [120]
AlternateDataStreams: C:\Users\User\Downloads\TLauncher-2.885-Installer-1.1.3.exe:MBAM.Zone.Identifier [149]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x64.exe:MBAM.Zone.Identifier [192]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (1).exe:MBAM.Zone.Identifier [177]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (2).exe:MBAM.Zone.Identifier [177]
AlternateDataStreams: C:\Users\User\Downloads\vcredist_x86 (3).exe:MBAM.Zone.Identifier [192]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [684]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [684]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [684]
FirewallRules: [{66C3800E-9012-47CD-BD30-F880073A2352}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{4122AFCE-F36C-488B-8611-1D3175220E49}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты
krovin Новичок

krovin

Опубликовано
  • Автор
Опубликовано
10 минут назад, thyrex сказал:

не показатель наличия чего-либо вирусного

тогда из за чего идет нагрузка на цп/память?

прикрепляю фикслог

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
krovin Новичок

krovin

Опубликовано
  • Автор
Опубликовано (изменено)

загрузки? какой?

если и загрузки, то в фикс логе? или где, я не понимаю

 

Изменено пользователем krovin
Ссылка на комментарий
Поделиться на другие сайты
krovin Новичок

krovin

Опубликовано
  • Автор
Опубликовано

Открываю диспетчер, сворачиваю на минут 20, занимаюсь своими делами, открываю, и ЦП либо память под сто забито. 
Если мы закончили с удалением, мне следовать как в других темах?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
49 минут назад, krovin сказал:

и ЦП либо память под сто забито. 

скриншот покажите

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

---------------------- [ AntiVirusFirewallInstall ] -----------------------


Kaspersky Total Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9013 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kapibara
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • badmemory
      [РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen
      Автор badmemory
      Обнаружил у себя 2 файла этого вируса, устранить не получается
       
    • Red_1663
      [РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
      Автор Red_1663
      Добрый день!
      Антивирус постоянно обнаруживает MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen. Удаляютс при перезагрузке, но при новом поиске снова находит
       
      Из логов
      pmem:\C:\Windows\explorer.exe                                   Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen         
      pmem:\C:\Users\i_sus\AppData\Roaming\Sandboxie\sandboxie.exe    Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen
      pmem:\C:\Windows\System32\conhost.exe                           Вылечено        Объект вылечен  MEM:Trojan.Multi.Agent.gen
×
×
  • Создать...