Перейти к содержанию
Правила раздела

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen словил этот троян

bittok23

Автор bittok23
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Выполните в uVS скрипт очистки из буфера обмена

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже: 

;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ATUD.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\1F0FB7C2D13CC0C07FF2CA40747BC03E_360TRAY.EXE
delref %SystemDrive%\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNUNINST.EXE
;-------------------------------------------------------------

restart

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • bittok23

    17

  • safety

    11

  • Sandor

    4

  • thyrex

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

bittok23 Новичок

bittok23

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Выполните в uVS скрипт очистки из буфера обмена

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже: 


;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ATUD.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\1F0FB7C2D13CC0C07FF2CA40747BC03E_360TRAY.EXE
delref %SystemDrive%\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER9\DNUNINST.EXE
;-------------------------------------------------------------

restart

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

По поводу проблемы не знаю, сразу она не появляется

2023-12-02_19-35-48_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
5 minutes ago, bittok23 said:

а как это сделать

Напишите, пожалуйста, какой продукт Касперского у вас установлен: просто антивирус, или Internet Security

AV: Kaspersky (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
26 minutes ago, bittok23 said:

просто антивирус

Скриншот с информацией о программе добавьте пожалуйста.

У Вас Kaspersky Free или Kaspersky Antivirus с лицензией?

Или разверните на скриншоте записи с детектированием, чтобы было понятно, что именно находится, какая программа обращалась к задетектированному объекту.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Скрипт ниже: 

Start::
CloseProcesses:
SystemRestore: On
C:\Users\8FEE~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [652 2023-12-02] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
S4 QHProtected; "C:\Program Files (x86)\360\Total Security\safemon\WscReg.exe" [X]
S3 360AvFlt; system32\DRIVERS\360AvFlt.sys [X]
R3 360Box64; system32\DRIVERS\360Box64.sys [X]
2023-11-30 19:52 - 2023-03-15 11:02 - 000540416 _____ (360.cn) C:\WINDOWS\system32\Drivers\360FsFlt.sys.456
2023-11-30 19:52 - 2023-03-15 11:02 - 000360664 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Box64.sys.837
2023-11-30 19:52 - 2023-03-15 11:02 - 000238304 _____ (360.cn) C:\WINDOWS\system32\Drivers\BAPIDRV64.SYS.upd
2023-11-30 19:52 - 2023-03-15 11:02 - 000199896 _____ (360.cn) C:\WINDOWS\system32\Drivers\360AntiHacker64.removed
2023-11-30 19:52 - 2023-03-15 11:02 - 000096424 ____N (360.cn) C:\WINDOWS\system32\Drivers\360netmon.sys
2023-11-30 19:52 - 2023-03-15 11:02 - 000058200 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Camera64.removed
2023-11-28 16:34 - 2023-08-25 18:41 - 000008868 _____ C:\WINDOWS\system32\pcwGsurm
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\yadDnohwrolyl
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\NulNylshumwnzjfr
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\grooHtnozlovzdvn
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\calAliwsvvmugcwy
FirewallRules: [{A693B0E0-533F-4473-9F7D-09B37C15FDFC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{7F7AF626-02C7-4CF3-BF96-20C92E133E91}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E5B548C0-86BE-4309-8CC9-7A696AF484DE}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
FirewallRules: [{C7BD67E9-5218-4C83-B5BC-AC3A208F1554}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
EmptyTemp:
Reboot:
End::

После перезагрузки, добавьте лог очистки Fixlog.txt из папки, откуда запускали FRST.

Ссылка на комментарий
Поделиться на другие сайты
bittok23 Новичок

bittok23

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Скрипт ниже: 


Start::
CloseProcesses:
SystemRestore: On
C:\Users\8FEE~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [652 2023-12-02] () [Файл не подписан] <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
S4 QHProtected; "C:\Program Files (x86)\360\Total Security\safemon\WscReg.exe" [X]
S3 360AvFlt; system32\DRIVERS\360AvFlt.sys [X]
R3 360Box64; system32\DRIVERS\360Box64.sys [X]
2023-11-30 19:52 - 2023-03-15 11:02 - 000540416 _____ (360.cn) C:\WINDOWS\system32\Drivers\360FsFlt.sys.456
2023-11-30 19:52 - 2023-03-15 11:02 - 000360664 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Box64.sys.837
2023-11-30 19:52 - 2023-03-15 11:02 - 000238304 _____ (360.cn) C:\WINDOWS\system32\Drivers\BAPIDRV64.SYS.upd
2023-11-30 19:52 - 2023-03-15 11:02 - 000199896 _____ (360.cn) C:\WINDOWS\system32\Drivers\360AntiHacker64.removed
2023-11-30 19:52 - 2023-03-15 11:02 - 000096424 ____N (360.cn) C:\WINDOWS\system32\Drivers\360netmon.sys
2023-11-30 19:52 - 2023-03-15 11:02 - 000058200 _____ (360.cn) C:\WINDOWS\system32\Drivers\360Camera64.removed
2023-11-28 16:34 - 2023-08-25 18:41 - 000008868 _____ C:\WINDOWS\system32\pcwGsurm
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\yadDnohwrolyl
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\NulNylshumwnzjfr
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\grooHtnozlovzdvn
2023-11-28 16:34 - 2023-08-23 00:39 - 000008868 _____ C:\WINDOWS\system32\calAliwsvvmugcwy
FirewallRules: [{A693B0E0-533F-4473-9F7D-09B37C15FDFC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{7F7AF626-02C7-4CF3-BF96-20C92E133E91}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E5B548C0-86BE-4309-8CC9-7A696AF484DE}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
FirewallRules: [{C7BD67E9-5218-4C83-B5BC-AC3A208F1554}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe (QIHU 360 SOFTWARE CO. LIMITED -> QIHU 360 SOFTWARE CO. LIMITED)
EmptyTemp:
Reboot:
End::

После перезагрузки, добавьте лог очистки Fixlog.txt из папки, откуда запускали FRST.

12 часов назад, safety сказал:

 

 

4 часа назад, safety сказал:

 

 

Fixlog_03-12-2023 15.47.57.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Не надо цитировать ответ, просто пишите в окне редактора. Здесь все прозрачно.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Примите к сведению, и обновите программы из данного списка, если нобходимо.

Quote

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.34 v.2.10.34 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Telegram Desktop v.4.12.2 [+]
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KitKat
      [РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen
      Автор KitKat
      CollectionLog-2025.06.29-18.57.zip
      Снова и снова возвращается вирус MEM:Trojan.Win32.SEPEH.gen . При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса. Удаляет. Некоторое время тихо, Потом опять возвращается. С середины мая воюю. Утилита доктора Вэба вообще ничего не находит. 
    • Шавкат Аблазов
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen не удаляется
      Автор Шавкат Аблазов
      Уже несколько месяцев,раз,а то и несколько раз в неделю касперский находит данный троян MEM:Trojan.Win32.SEPEH.gen,после каждого лечения через некоторое время  снова возникает он при проверке,т.е никак не удаляется,прошу помочь
      CollectionLog-2025.05.23-23.11.zip
    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • Kapibara
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
×
×
  • Создать...