sepeh.gen [РЕШЕНО] не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen

[fodymoran]

Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
CollectionLog-2024.09.10-22.37.zip

[fodymoran]

Читала на данном форуме темы с этой же проблемой, поэтому сразу приложу Файлы FRST.txt и Addition.txt, сделанные с помощью программы Farbar Recovery Scan Tool (надеюсь это поможет быстрее разобраться с проблемой)FRST Addition.rar

[safety]

+ добавьте отчеты по угрозам и сканированию из антивируса Касперского.

+ добавьте образ автозапуска системы в uVS.

 

образ автозапуска в uVS:

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 11 сентября пользователем safety

[fodymoran]

Доброе утро.
Файлы прикрепляю
DESKTOP-1NM3JRK_2024-09-11_09-01-13_v4.99.1v x64.7zФайловый антивирус.txtПроверка.txt

[safety]

проблема понятна.

Цитата

Вчера, 10.09.2024 21:10:15    pmem:\C:\Windows\System32\conhost.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл    pmem:\C:\Windows\System32    conhost.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-1NM3JRK\fodym    Активный пользователь
Вчера, 10.09.2024 21:10:30    HKLM\SYSTEM\ControlSet001\Services\GoogleUpdateTaskMachineQC    Удалено    Объект удален    HEUR:Trojan.Win32.Miner.pef        Файл    HKLM\SYSTEM\ControlSet001\Services    GoogleUpdateTaskMachineQC    Удалено    Троянское приложение    Высокая    Эвристический анализ    DESKTOP-1NM3JRK\fodym    Активный пользователь
Вчера, 10.09.2024 21:10:40    C:\ProgramData\Google\Chrome\updater.exe    Завершен    Процесс завершен    HEUR:Trojan.Win32.Miner.pef        Файл    C:\ProgramData\Google\Chrome    updater.exe    Завершен    Троянское приложение    Высокая    Эвристический анализ    DESKTOP-1NM3JRK\fodym    Активный пользователь
Вчера, 10.09.2024 21:10:40    C:\ProgramData\Google\Chrome\updater.exe    Будет удалено при перезагрузке    Объект будет удален при перезагрузке    HEUR:Trojan.Win32.Miner.pef        Файл    C:\ProgramData\Google\Chrome    updater.exe    Будет удалено при перезагрузке    Троянское приложение    Высокая    Эвристический анализ    DESKTOP-1NM3JRK\fodym    Активный пользователь
Вчера, 10.09.2024 21:10:40    C:\ProgramData\Google\Chrome\updater.exe    Создана резервная копия    Создана резервная копия объекта    HEUR:Trojan.Win32.Miner.pef        Файл    C:\ProgramData\Google\Chrome    updater.exe    Создана резервная копия    Троянское приложение    Высокая    Эвристический анализ    DESKTOP-1NM3JRK\fodym    Активный пользователь
Вчера, 10.09.2024 21:11:27    C:\Users\fodym\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gandigjpilmchbomlpmfogigbjapofnc\17.19_1\script\bg.js    Объект был удален при перезагрузке    Объект был удален при перезагрузке    not-a-virus:HEUR:AdWare.Script.BroExtension.gen        Файл    C:\Users\fodym\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gandigjpilmchbomlpmfogigbjapofnc\17.19_1\script    bg.js    Объект был удален при перезагрузке    Рекламное приложение    Средняя    Частично    NT AUTHORITY\СИСТЕМА    Системный пользователь
Вчера, 10.09.2024 21:11:27    C:\Users\fodym\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm\31.10_1\scripts\background.js    Объект был удален при перезагрузке    Объект был удален при перезагрузке    not-a-virus:HEUR:AdWare.Script.BroExtension.gen        Файл    C:\Users\fodym\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm\31.10_1\scripts    background.js    Объект был удален при перезагрузке    Рекламное приложение    Средняя    Частично    NT AUTHORITY\СИСТЕМА    Системный пользователь
 

 

Ждем скрипт очистки

Изменено 11 сентября пользователем safety

[safety]

Судя по отчету Касперского, вчерашняя вечерняя очистка системы была успешной.

 

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\MSIX.DLL
;------------------------autoscript---------------------------

apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SECOPATCHER.DLL
delref %SystemDrive%\USERS\FODYM\APPDATA\LOCAL\TEMP\DCONTROL.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{78DA1391-47A7-4527-8D1C-439656411189}\MPKSLDRV.SYS
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, наблдаются ли сегодня указанные детекты MEM:Trojan.Win32.SEPEH.gen

Изменено 11 сентября пользователем safety

[fodymoran]

Скрипт выполнила, сейчас запущу повторную полную проверку через Касперский, по готовности сообщу.

 2024-09-11_11-12-58_log.txt

Изменено 11 сентября пользователем fodymoran

[safety]

Хорошо, очистка прошла успешно:

Цитата

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 52 из 52
Удалено файлов: 1 из 1

жду новые отчеты о проверках антивирусом Касперского.

[fodymoran]

Новый отчет по полной проверкеПолная проверка 11.09.txt

Изменено 11 сентября пользователем fodymoran

[safety]

Судя по новому отчету, новых детектов MEM:Trojan.Win32.SEPEH.gen не обнаружено.

 

Основные детекты связаны с установщиками программ.

Сегодня, 11.09.2024 11:47:16    D:\Enter_the_Gungeon_v2.1.9\Enter_the_Gungeon_v2.1.9_setup.exe\script    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.    not-a-virus:HEUR:Downloader.Win32.ReqOffer.gen    Экспертный анализ    Файл    D:\Enter_the_Gungeon_v2.1.9\Enter_the_Gungeon_v2.1.9_setup.exe//    script    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Частично    DESKTOP-1NM3JRK\fodym    Активный пользователь
 

Будьте внимательны при установке подобных программ, проверяйте установщики  на http://virustotal.com (здесь действуют ограничения на размер проверяемого файла),

скачивайте программы установки с официальных ресурсов. 

Изменено 11 сентября пользователем safety

[fodymoran]

Спасибо большое!

[safety]

В завершении:

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[fodymoran]

Готово
SecurityCheck.txt

[safety]

По возможности обновите установленное ПО:

 

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22253 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Python 3.12.4 (64-bit) v.3.12.4150.0 Внимание! Скачать обновления
AnyDesk v.ad 8.0.10 Внимание! Скачать обновления

WinRAR 6.22 (64-разрядная) v.6.22.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9013 Внимание! Скачать обновления
Zoom v.5.17.5 (31030) Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-i586.exe - Windows Offline)^

Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

[fodymoran]

Благодарю за помощь!