[РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen

[chebroller 1]

Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.

CollectionLog-2024.09.23-21.42.zip

[safety 131]

Добавьте лог обнаружения угроз и лог сканирования из KIS.

 

+ добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[chebroller 1]

Прикрепляю логи "проверка" и "файловый антивирус" из KIS. Где взять лог обнаружения угроз, к сожалению, не нашел.

 

Чтобы предоставить наиболее актуальную информацию, запускал сегодня в KIS полную проверку. Однако она на долгие часы застряла на 99% и 8 720 207 файлах, поэтому остановил ее вручную. Если нужно что-то переделать, пожалуйста, сообщите.

 

При первом запуске полной проверки испытал проблему: прогресс не шел, число проверенных файлов оставалось равно 0. Я решил перезагрузить систему, выбрав лечение с перезагрузкой во всплывающем окне KIS. Так как я опасаюсь, что в результате этого что-то могло поменяться, провел повторное сканирование с помощью AutoLogger и также прикрепляю его отчет.

 

Образ автозапуска системы в uVS создал, прикрепляю.

 

Если еще что-то нужно, пожалуйста, сообщите.

Проверка.zip Файловый антивирус.txt PROBOOK_2024-09-24_20-29-42_v4.99.1v x64.7z CollectionLog-2024.09.24-20.26.zip

[safety 131]

по логам проверки KIS:

 

Цитата

 

Сегодня, 24.09.2024 10:47:50    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    ProBook\Misha    Активный пользователь

 

Сегодня, 24.09.2024 10:31:03    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Отложено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    ProBook\Misha    Активный пользователь

 

Сегодня, 24.09.2024 10:31:03    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    ProBook\Misha    Активный пользователь

 

Сегодня, 24.09.2024 10:26:01    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Отложено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    ProBook\Misha    Активный пользователь

 

Сегодня, 24.09.2024 10:26:01    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    ProBook\Misha    Активный пользователь

 

Проверьте еще раз, будут ли новые обнаружения после 24.09.2024 10:47:50, т.е. после того как вы применили лечение с перезагрузкой.

Изменено 25 сентября пользователем safety

[chebroller 1]

Сегодня провел еще раз полное сканирование в KIS. Обнаружения есть. Логи KIS за сегодняшний день во вложении. После этого еще раз запускал AutoLogger и uVS. Результаты их работы также прикладываю.

Файловый антивирус.txt Проверка.zip CollectionLog-2024.09.25-22.45.zip PROBOOK_2024-09-25_22-48-08_v4.99.1v x64.7z

[safety 131]

Проверьте на Virustotal.com данный файл

C:\PROGRAM FILES (X86)\DASSAULT SYSTEMES\DS LICENSE SERVER\INTEL_A\CODE\BIN\DSLICSRV.EXE

судя по образу автозапуска он активен, и содержит внедренные потоки

АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\DASSAULT SYSTEMES\DS LICENSE SERVER\INTEL_A\CODE\BIN\DSLICSRV.EXE [3828], tid=3896

HKLM\System\CurrentControlSet\Services\DS License Server\ImagePath

"C:\Program Files (x86)\Dassault Systemes\DS License Server\intel_a\code\bin\DSLicSrv.exe" -startServer

Dassault Systemes 3DEXPIERENCE Licensing Server

Цифровая подпись: Отсутствует либо ее не удалось проверить

------------

по хэшу нашел результат проверки на VT:

https://www.virustotal.com/gui/file/6ab24c47d3b4d48b1bc8b03615f823371d0ded49975f9f88d1ba7b4c53132fbd?nocache=1

из обнаружений других антивирусов:

Java.Jacksbot.60

Если возможно, пробуйте временно остановить данную службу DS License Server

и еще раз выполнить проверку сканирования антивирусом.

(новые логи Collection* и uVS пока не нужны)

Изменено 26 сентября пользователем safety

[chebroller 1]

Проверил на Virustotal.com файл DSLICSRV.EXE. Результат проверки и ссылка на него полностью совпадает с вашей:

 

https://www.virustotal.com/gui/file/6ab24c47d3b4d48b1bc8b03615f823371d0ded49975f9f88d1ba7b4c53132fbd

 

Остановил службу DS License Server, отключил ее автозапуск, перезагрузился, провел сначала быструю, затем полную проверку в KIS. Результаты прикладываю.

 

Я наблюдаю некоторую странность. Быстрая проверка началась в 10:05:58, полная в 10:13:06. Вторую полную я запустил в 12:56:15 (так как первая почему-то прервалась, не дойдя до конца). В ходе этих проверок не было всплывающих окон KIS об обнаружении и предложении лечения упомянутого выше трояна. В логе начиная с 10:05:58 также нет упоминаний о нем. (До выключения службы DS License Server эти проверки обнаруживали троян). Однако в сегодняшнем логе в 9:56:28 и в 10:02:35 есть упоминание о MEM:Trojan.Win32.SEPEH.gen. Его обнаружение приходится на период работы фоновой проверки (поиск руткитов), которая запустилась в 9:52:40. Странно то, что в результатах этой проверки значится 0 обнаруженных объектов (скриншот прикладываю).

Проверка.zip

 

Дополнение: в центре уведомлений KIS напротив трояна MEM:Trojan.Win32.SEPEH.gen нажал "Устранить", и он оттуда исчез. Остались только предупреждения. Значек KIS в трее стал зеленым. Перезагрузился, сделал быструю проверку, она завершилась со статусом "угроз не обнаружено".

[safety 131]

понаблюдайте за ситуацией далее. Если софт рабочий, можно попробовать добавить его в исключение антивируса.

 

По очистке системы в uVS.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\MSIX.DLL
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\MYOKENT.DLL
delref %SystemDrive%\USERS\MISHA\DOWNLOADS\ABBYY LINGVO 12 MULTY LANGUAGE\LICENCE\LV12LICS.EXE
delref %SystemDrive%\PROGRAMDATA\CORELDRAW GRAPHICS SUITE X7 X64\17.1.0.572\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CAMBRIDGE TOEFL(R) PREP\UNWISE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IMTOO\3GP VIDEO CONVERTER 6\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\HP PROTECTTOOLS SECURITY MANAGER\BIN\DPCLIENTWIZARD.EXE
delref E:\CODEBLOCKS-8.02MINGW-SETUP.EXE
delref %SystemDrive%\USERS\MISHA\DOWNLOADS\CAMBRIDGE PREP\SETUP.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 17.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID]
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E}\[CLSID]
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D}\[CLSID]
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F}\[CLSID]
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C}\[CLSID]
delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID]
delref {D03D3E68-0C44-3D45-B15F-BCFD8A8B4C7E}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {722DEFE8-78AF-4E12-86A1-A8B21B509C52}\[CLSID]
delref {77B7ED10-A641-4766-A428-8B9EE42E830A}\[CLSID]
delref {E85E7D14-653B-4E51-9BC5-E5F9EC9BC51D}\[CLSID]
delref {F0C31759-99A6-493E-AD7D-7F69126CDFBC}\[CLSID]
delref {F731030D-3272-4D8B-A21A-3940EF268453}\[CLSID]
delref {DCFB2A33-814B-4236-BFBD-FFEA3F528385}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\MISHA\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKOVERLAYS-2398.DLL
delref %Sys32%\DRIVERS\BLUELETAUDIO.SYS
delref %Sys32%\DRIVERS\BTNETDRV.SYS
delref %Sys32%\DRIVERS\BTAUDIOBUS.SYS
delref %Sys32%\DRIVERS\BTCOMPORT.SYS
delref %Sys32%\DRIVERS\BTCUSB.SYS
delref %Sys32%\DRIVERS\BTL2CASCOIF.SYS
delref %Sys32%\DRIVERS\IVTURBBTFLT.SYS
delref %Sys32%\DRIVERS\CEC488.SYS
delref %Sys32%\DRIVERS\CLWCSM.SYS
delref %Sys32%\DRIVERS\BTCOMBUS.SYS
delref %Sys32%\DRIVERS\NETR28X.SYS
delref %Sys32%\DRIVERS\RTBTH.SYS
delref %Sys32%\DRIVERS\TPLINKUDSMBUS.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\PSXSS.EXE
delref H:\PRESENTATIONLAUNCHER.EXE
delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
delref {39125640-8D80-11DC-A2FE-C5C455D89593}\[CLSID]
delref {AB9F4455-E591-4132-A386-0B91EAEDB96C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IMTOO\3GP VIDEO CONVERTER 3\VIDEOENC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IMTOO\3GP VIDEO CONVERTER 3\VCW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IMTOO\3GP VIDEO CONVERTER 3\UNINSTALL.EXE
delref %SystemDrive%\SIMULIA\LICENSE\INSTALLATION_INFO\UNINSTALLER\UNINSTALL SIMULIA FLEXNET LICENSING.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 27 сентября пользователем safety

[chebroller 1]

Лог uVS после очистки во вложении. Также сегодня проводил быструю и полную проверки в KIS. Обнаружений трояна нет как в окне программы, так и в логе сканирования.

2024-09-27_21-11-11_log.txt

[safety 131]

Хорошо, возможно проблема с детектом антивируса была в этом файле:

C:\PROGRAM FILES (X86)\DASSAULT SYSTEMES\DS LICENSE SERVER\INTEL_A\CODE\BIN\DSLICSRV.EXE

Можно в качестве эксперимента временно включить данную службу и выполнить проверку антивирусом.

А далее, вам решать  что с этим делать.

Так понимаю, софт от этой компании DASSAULT SYSTEMES важен для вашей работы.

-----------

+ завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[chebroller 1]

Все произошло так, как вы и сказали. После включения службы DS License Server KIS обнаруживает MEM:Trojan.Win32.SEPEH.gen. Ели службу выключить, то угроз нет.

SecurityCheck.txt

[safety 131]

Не могу сказать, какую деструктивную угрозу несет данный модуль,

возможно, что помимо функции сервера лицензий, которая необходима для работы приложений от данной компании, есть нежелательные функции, которые обнаруживают ДрВеб и Касперский.

Как вариант, если для вас это критично, отключите данную службу,

если не критично, пробуйте добавить этот файл в исключения антивируса, возможно это поможет исключить постоянные напоминания о детекте. (или не поможет).

-------------

по SecurityCheck:

 

по возможности обновите указаннное ниже ПО

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17801 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

VMware Workstation v.15.5.2 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.2 v.4.6.01590 Внимание! Скачать обновления

Python 3.8.10 (64-bit) v.3.8.10150.0 Внимание! Скачать обновления
AnyDesk v.ad 8.0.10 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.7 Внимание! Скачать обновления

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
Total Commander
------------------------------- [ Imaging ] -------------------------------
XnView 2.39 v.2.39 Внимание! Скачать обновления

Java 8 Update 172 (64-bit) v.8.0.1720.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
K-Lite Mega Codec Pack 18.5.0 v.18.5.0 Внимание! Скачать обновления

Mozilla Firefox ESR (x64 ru) v.115.15.0 Внимание! Скачать обновления
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Google Video Support Plugin v.19.12.1000.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

 

[safety 131]

35 минут назад, safety сказал:

Mozilla Firefox ESR (x64 ru) v.115.15.0 Внимание! Скачать обновления
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления

Эти возможно что уже не обновятся, так как более не поддерживаются разработчиками для Win7.

[chebroller 1]

Я все понял. Спасибо вам огромное за помощь!

[safety 131]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".