sepeh.gen [РЕШЕНО] Plus находит Mem:Trojan.Win.32.sepeh.gen после каждой загрузки

[KirillR]

После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.

Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется

KVRT - угроз не нашел

CollectionLog-2024.10.01-11.11.zip

Изменено 1 октября пользователем KirillR

[safety]

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса:

 

+

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 1 октября пользователем safety

[KirillR]

DESKTOP-FD1G5U4_2024-10-01_12-41-31_v4.99.1v x64.7z

[safety]

по логу обнаружения Касперского:

Сегодня, 01.10.2024 13:37:14    pmem:\C:\Program Files (x86)\Internet Explorer\iexplore.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Program Files (x86)\Internet Explorer    iexplore.exe    Вылечено    Троянское приложение   

 

по логу uVS

Возможно, антивирус реагирует на внедренный в IEXPLORE.exe поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [12344], tid=21424

но неизвестен родительский процесс, который запустил IEXPLORE и внедрил в него поток.

 

Необходим образ созданный с включенным отслеживанием процессов и задач, т.е. какой либо процесс мог отработать запуск EXPLORE и потоком, и завершиться.

 

Что нужно сделать:

 

еще раз запустить uVS, если он сейчас не запущен.

В главном меню выбрать опцию Дополнительно, Твики.

Из меню твики выполнить твик 39 - включить отслеживание процессов и задач.

После выполнения твика. Закрываем uVs, перегружаем систему (обязательно)

После перезагрузки создаем новый образ автозапуска в uVS,

добавить полученный файл образа в ваше сообщение.

Изменено 1 октября пользователем safety

[KirillR]

DESKTOP-FD1G5U4_2024-10-01_13-16-43_v4.99.1v x64.7z

[safety]

В этот раз была реакция антивируса? Вы пролечили без перезагрузки? Не вижу активным IEXPLORE и нет потока.

Изменено 1 октября пользователем safety

[KirillR]

пока нет, вирус определяется не сразу, а спустя какое-то время, возможно он изначально есть, просто проверка каспера его отлавливает не сразу

[safety]

тогда лучше дождаться детектирования антивирусом -проигнорировать лечение (если антивирус не постоянно будет об этом сигналить), и после этого сделать образ автозапуска.

Изменено 1 октября пользователем safety

[KirillR]

DESKTOP-FD1G5U4_2024-10-01_13-34-12_v4.99.1v x64.7z

[safety]

сейчас появился поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988

проверяю образ

[safety]

Полное имя                  C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
parentid = 22736            
ESTABLISHED                 192.168.0.104:50350 <-> 45.138.50.75:1984
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988
 

а это родитель:

 

Полное имя                  C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Доп. информация             на момент обновления списка
pid = 22736                 DESKTOP-FD1G5U4\KiraRozanov
Процесс создан              13:17:46 [2024.10.01]
Процесс завершен            13:17:57 [2024.10.01]
CmdLine                     "C:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "<#Monocarp Boliviano Delprojekter ......

 

Изменено 1 октября пользователем safety

[KirillR]

А не подскажете, что мне с этим надо сделать?

[safety]

Разбираюсь пока, самому не ясно.

сделайте еще это

1. логи FRST

посмотрим со стороны FRST что есть.

+

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса

 

[KirillR]

FRST.txt

Addition.txt Kasper.txt

[safety]

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Modning] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Nonsubscription] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Amargosos] powershell.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Beaconed] powershell.exe <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, есть ли детект Касперского после очистки или ушел после скрипта.

Далее, продолжим очистку системы.

Изменено 1 октября пользователем safety