Перейти к содержанию
Правила раздела
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Plus находит Mem:Trojan.Win.32.sepeh.gen после каждой загрузки

KirillR

Автор KirillR,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

KirillR

KirillR 0

Опубликовано
Опубликовано (изменено)

После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.

Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется

KVRT - угроз не нашел

CollectionLog-2024.10.01-11.11.zip

Изменено пользователем KirillR
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса:

 

+

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

по логу обнаружения Касперского:

Сегодня, 01.10.2024 13:37:14    pmem:\C:\Program Files (x86)\Internet Explorer\iexplore.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Program Files (x86)\Internet Explorer    iexplore.exe    Вылечено    Троянское приложение   

 

по логу uVS

Возможно, антивирус реагирует на внедренный в IEXPLORE.exe поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [12344], tid=21424

но неизвестен родительский процесс, который запустил IEXPLORE и внедрил в него поток.

 

Необходим образ созданный с включенным отслеживанием процессов и задач, т.е. какой либо процесс мог отработать запуск EXPLORE и потоком, и завершиться.

 

Что нужно сделать:

 

еще раз запустить uVS, если он сейчас не запущен.

В главном меню выбрать опцию Дополнительно, Твики.

Из меню твики выполнить твик 39 - включить отслеживание процессов и задач.

После выполнения твика. Закрываем uVs, перегружаем систему (обязательно)

После перезагрузки создаем новый образ автозапуска в uVS,

добавить полученный файл образа в ваше сообщение.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

В этот раз была реакция антивируса? Вы пролечили без перезагрузки? Не вижу активным IEXPLORE и нет потока.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
KirillR

KirillR 0

Опубликовано
  • Автор
Опубликовано

пока нет, вирус определяется не сразу, а спустя какое-то время, возможно он изначально есть, просто проверка каспера его отлавливает не сразу

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

тогда лучше дождаться детектирования антивирусом -проигнорировать лечение (если антивирус не постоянно будет об этом сигналить), и после этого сделать образ автозапуска.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано

сейчас появился поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988

проверяю образ

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

Полное имя                  C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
parentid = 22736            
ESTABLISHED                 192.168.0.104:50350 <-> 45.138.50.75:1984
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988
 

а это родитель:

 

Полное имя                  C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Доп. информация             на момент обновления списка
pid = 22736                 DESKTOP-FD1G5U4\KiraRozanov
Процесс создан              13:17:46 [2024.10.01]
Процесс завершен            13:17:57 [2024.10.01]
CmdLine                     "C:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "<#Monocarp Boliviano Delprojekter ......

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано

Разбираюсь пока, самому не ясно. :)

сделайте еще это

1. логи FRST

посмотрим со стороны FRST что есть.

+

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

  

Start::
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Modning] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Nonsubscription] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Amargosos] powershell.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Beaconed] powershell.exe <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, есть ли детект Касперского после очистки или ушел после скрипта.

Далее, продолжим очистку системы.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Marchi
      gt26-launcher и просто gt-launxer(?)
      От Marchi
      не знаю после чего конкретно началась проблема.
      Довольно долго я просто игнорировал нытьё компа о каких то там разрешениях, мол, хочешь чтобы разрешили? на, радуйся.
      Однако в какой-то момент просто надоело. 
      Пошёл разбираться что за лаунчер такой, обнаружил их аж 2 шт, снёс через обычное удаление программ ( и gt26-launcher и просто gt-launxer, оба снёс)
      Комп стал ныть что какой-то там сценарий (tasklC.vbs) не может найти какой-то файл...
      В общем очень хочется извести эту муть с ПК.
      Видел в темах подобный случай, но побоялся делать по инструкции от туда, мало ли...

      Помогите пожалуйста....
      CollectionLog-2024.10.06-06.00.zip
    • Crossbean
      Autoit v3 Script вирус
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • bittok23
      Поймал вирус, скорее всего майнер
      От bittok23
      Поймал вирус, сначала решил провести проверку по антивирусу, проверка шла и внезапно комп выключается и врубается снова, потом еще раз и после этого антивирус сам удаляется с устройства. В диспетчере задач при заходе видно что процессор нагружен на 100 и резко падает. Антивирус ничего не нашел после полной проверки, майнер так и остался, что делать я не понимаю
    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
×
×
  • Создать...