Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите с зачисткой MEM:Trojan.win32.SEPEH.gen

DobryPapa

От DobryPapa
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Из лога

Цитата

CHR Extension: (Adblock Plus - бесплатный блокировщик рекламы) - C:\Users\****\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2024-07-20]

 

Кстати, еще и в Firefox тоже

Цитата

FF Extension: (Adblock Plus - бесплатный блокировщик рекламы) - C:\Users\DobryPapa\AppData\Roaming\Mozilla\Firefox\Profiles\ph2gpvcr.default-release\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2024-07-20]

 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 60
  • Created
  • Последний ответ

Top Posters In This Topic

  • DobryPapa

    30

  • thyrex

    22

  • safety

    9

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

safety
safety

Можно обратить внимание  на этот файл в автозапуске C:\USERS\PUBLIC\AUTOHOTKEYU64.EXE регулярно запускается через задачу C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NEW есть упоминание

DobryPapa
DobryPapa

Запустил тотальную проверку, но уже могу сказать, по итогам Быстрой проверки троян в памяти не обнаружен! Сетевой экран показывает, что нет никаких процессов, которые пытаются не санкционированно прор

thyrex
thyrex

Вот это крутилось в памяти https://www.virustotal.com/gui/file/e2ae88e65d57c85795f46e3ef22744247e5f8faf8d4ef8c0571b1993fd9d2f94?nocache=1   Наверняка стоит поменять пароли.  

DobryPapa Постоялец

DobryPapa

Опубликовано
  • Автор
Опубликовано

Ещё раз скажу - Adblock Plus устанавливался давно, 20 числа скорее всего было выполнено обновление. Adblock Plus я привык ставить сразу же, потому что рекламу я ненавижу ещё больше, чем свою бывшую.

Если нужно - я удалю Adblock Plus, но какие мои дальнейшие шаги после удаления Adblock Plus?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
30 минут назад, DobryPapa сказал:

какие мои дальнейшие шаги после удаления Adblock Plus?

логично же: снова очистить отчеты о проверке, выполнить полную проверку и сообщить (а не прикреплять файл лога), будет ли снова обнаружена проблема, с которой обратились.

Ссылка на комментарий
Поделиться на другие сайты
DobryPapa Постоялец

DobryPapa

Опубликовано
  • Автор
Опубликовано

Ничего не изменилось в лучшую сторону. Практически сразу после запуска Полной проверки антивирус обнаруживает MEM:Trojan.Win32.SEPEH.gen, расположение pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall D:\TORRENTCLIENTS\AZTORRENT\AZTORRENT.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHIGNEEFEBKCAGNPNPBIBGANPMFGEBNK%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\DOBRYPAPA\APPDATA\LOCAL\WEBTORRENT\WEBTORRENT.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

 добавьте текстовый лог обнаружений угроз из антивируса Касперского.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

+ вопрос: перед повторными сканированиями, о которых я просил, антивирусные базы обновляли?

Ссылка на комментарий
Поделиться на другие сайты
DobryPapa Постоялец

DobryPapa

Опубликовано
  • Автор
Опубликовано

Отвечаю на вопрос - базы актуальны и обновляются автоматически (это как минимум то, что написано в самом антивирусе).

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Хорошо, скрипт отработал успешно.

Теперь вам необходимо совершить еще одно усилие, и собрать все отчеты о работе антивируса в один архив, и добавить в ваше сообщение.

+

прокомментировать, что происходит с детектами в настоящее время.

Повлияла как то очистка на них или все остается по прежнему.

-----

update: отчеты вижу, добавьте еще уомментарий.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
8 минут назад, DobryPapa сказал:

Пока троян продолжает выживать :(

да,есть в отчете этот детект

Сегодня, 31.07.2024 17:33:24    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    AppLaunch.exe    Обнаружено    Троянское приложение    Высокая    Точно    PC-RTX\DobryPapa    Активный пользователь

 

из сетевого экрана:

Сегодня, 31.07.2024 17:14:20    Сетевая активность запрещена    Microsoft .NET ClickOnce Launch Utility    AppLaunch.exe    C:\Windows\Microsoft.NET\Framework\v4.0.30319    13040    TCP    Исходящее    Запрещено    173.208.162.39    85    192.168.0.101    1277    Публичная сеть    PC-RTX\DobryPapa    Инициатор    Severity    Правило приложения                                   

 

попробуйте этот файл загрузить на Virustotal.com для проверки,

C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe

и добавьте в ваше сообщение результат.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Frol3310
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Lagbeast
      [РЕШЕНО] не удаляется MEM:Trojan.Win32.SEPEH.gen
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Александр Лаптев
      [РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...