Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Plus находит Mem:Trojan.Win.32.sepeh.gen после каждой загрузки

KirillR

Автор KirillR
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

KirillR Новичок

KirillR

Опубликовано
Опубликовано (изменено)

После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.

Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется

KVRT - угроз не нашел

CollectionLog-2024.10.01-11.11.zipПолучение информации...

Изменено пользователем KirillR
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса:

 

+

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

по логу обнаружения Касперского:

Сегодня, 01.10.2024 13:37:14    pmem:\C:\Program Files (x86)\Internet Explorer\iexplore.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Program Files (x86)\Internet Explorer    iexplore.exe    Вылечено    Троянское приложение   

 

по логу uVS

Возможно, антивирус реагирует на внедренный в IEXPLORE.exe поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [12344], tid=21424

но неизвестен родительский процесс, который запустил IEXPLORE и внедрил в него поток.

 

Необходим образ созданный с включенным отслеживанием процессов и задач, т.е. какой либо процесс мог отработать запуск EXPLORE и потоком, и завершиться.

 

Что нужно сделать:

 

еще раз запустить uVS, если он сейчас не запущен.

В главном меню выбрать опцию Дополнительно, Твики.

Из меню твики выполнить твик 39 - включить отслеживание процессов и задач.

После выполнения твика. Закрываем uVs, перегружаем систему (обязательно)

После перезагрузки создаем новый образ автозапуска в uVS,

добавить полученный файл образа в ваше сообщение.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

В этот раз была реакция антивируса? Вы пролечили без перезагрузки? Не вижу активным IEXPLORE и нет потока.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
KirillR Новичок

KirillR

Опубликовано
  • Автор
Опубликовано

пока нет, вирус определяется не сразу, а спустя какое-то время, возможно он изначально есть, просто проверка каспера его отлавливает не сразу

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

тогда лучше дождаться детектирования антивирусом -проигнорировать лечение (если антивирус не постоянно будет об этом сигналить), и после этого сделать образ автозапуска.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

сейчас появился поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988

проверяю образ

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Полное имя                  C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
parentid = 22736            
ESTABLISHED                 192.168.0.104:50350 <-> 45.138.50.75:1984
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988
 

а это родитель:

 

Полное имя                  C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Доп. информация             на момент обновления списка
pid = 22736                 DESKTOP-FD1G5U4\KiraRozanov
Процесс создан              13:17:46 [2024.10.01]
Процесс завершен            13:17:57 [2024.10.01]
CmdLine                     "C:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "<#Monocarp Boliviano Delprojekter ......

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Разбираюсь пока, самому не ясно. :)

сделайте еще это

1. логи FRST

посмотрим со стороны FRST что есть.

+

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

  

Start::
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Modning] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Nonsubscription] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Amargosos] powershell.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Beaconed] powershell.exe <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, есть ли детект Касперского после очистки или ушел после скрипта.

Далее, продолжим очистку системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • Sibir72
      [РЕШЕНО] Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen
      Автор Sibir72
      Здравствуйте!
       
      Прошу помощи с удалением троянов, обычным касперским не лечится. Пробовал лечить Kaspersky Virus Removal Tool, не помогло. 
      Судя по темам на данном форуме - проблема распространенная.
       
      Список вредителей:
      MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
       
      логи из программ прикладываю.
      KF.txtCollectionLog-2025.03.24-22.27.zipreport KVRT.txtOLDAMDPC_2025-03-24_22-34-03_v4.99.10v x64.7z
    • Kosch
      Trojan.Win32.SEPEH.gen не лечится
      Автор Kosch
      Здравствуйте!
       
      Прилетели два трояна
      Trojan.Win32.SEPEH.gen
      Trojan.Multi.Agent.gen
       
      вылечить не получается
      загружался с Kaspersky Virus Removal Tool - не находит :(
       
      Помогите пожалуйста!
       
      KIS.txt
    • Андрей2029
      Kaspersky Plus и продукты Adobe
      Автор Андрей2029
      Добрый день. С нредавних пор, порядка месяца постоянно вижу вот такие сообщения:

      Каждый раз новый адрес и порт, но все это касается только Adobe. Разумеется. в системе стоит лицензионный пакет Adobe Creative Cloud с набором софта, и разумеется, в исключения я все добавлял и ни раз. Каждый день, несколько раз за день вижу эти окошки. Можно как-то такое поведение Касперского Плюс изменить, ибо дастало?
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
×
×
  • Создать...