Перейти к содержанию

[РЕШЕНО] Plus находит Mem:Trojan.Win.32.sepeh.gen после каждой загрузки


Рекомендуемые сообщения

После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.

Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется

KVRT - угроз не нашел

CollectionLog-2024.10.01-11.11.zip

Изменено пользователем KirillR
Ссылка на комментарий
Поделиться на другие сайты

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса:

 

+

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

по логу обнаружения Касперского:

Сегодня, 01.10.2024 13:37:14    pmem:\C:\Program Files (x86)\Internet Explorer\iexplore.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Program Files (x86)\Internet Explorer    iexplore.exe    Вылечено    Троянское приложение   

 

по логу uVS

Возможно, антивирус реагирует на внедренный в IEXPLORE.exe поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [12344], tid=21424

но неизвестен родительский процесс, который запустил IEXPLORE и внедрил в него поток.

 

Необходим образ созданный с включенным отслеживанием процессов и задач, т.е. какой либо процесс мог отработать запуск EXPLORE и потоком, и завершиться.

 

Что нужно сделать:

 

еще раз запустить uVS, если он сейчас не запущен.

В главном меню выбрать опцию Дополнительно, Твики.

Из меню твики выполнить твик 39 - включить отслеживание процессов и задач.

После выполнения твика. Закрываем uVs, перегружаем систему (обязательно)

После перезагрузки создаем новый образ автозапуска в uVS,

добавить полученный файл образа в ваше сообщение.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

В этот раз была реакция антивируса? Вы пролечили без перезагрузки? Не вижу активным IEXPLORE и нет потока.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

пока нет, вирус определяется не сразу, а спустя какое-то время, возможно он изначально есть, просто проверка каспера его отлавливает не сразу

Ссылка на комментарий
Поделиться на другие сайты

тогда лучше дождаться детектирования антивирусом -проигнорировать лечение (если антивирус не постоянно будет об этом сигналить), и после этого сделать образ автозапуска.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

сейчас появился поток

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988

проверяю образ

Ссылка на комментарий
Поделиться на другие сайты

Полное имя                  C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
parentid = 22736            
ESTABLISHED                 192.168.0.104:50350 <-> 45.138.50.75:1984
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE [23756], tid=23988
 

а это родитель:

 

Полное имя                  C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Доп. информация             на момент обновления списка
pid = 22736                 DESKTOP-FD1G5U4\KiraRozanov
Процесс создан              13:17:46 [2024.10.01]
Процесс завершен            13:17:57 [2024.10.01]
CmdLine                     "C:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "<#Monocarp Boliviano Delprojekter ......

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Разбираюсь пока, самому не ясно. :)

сделайте еще это

1. логи FRST

посмотрим со стороны FRST что есть.

+

Добавьте отчеты обнаружения угроз и проверки сканированием из установленного антивируса

 

Ссылка на комментарий
Поделиться на другие сайты

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Modning] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\...\Run: [Nonsubscription] => c:\windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe [435712 2024-03-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Amargosos] powershell.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-3002732320-1995146311-2332092915-1001\Environment: [Beaconed] powershell.exe <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по результату, есть ли детект Касперского после очистки или ушел после скрипта.

Далее, продолжим очистку системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Vrotkompot
      От Vrotkompot
      Добрый день, кто может соорудить скины для этого продукта, чтоб работал для высокого разрешения на весь экран и не только (3840-2160) в моём случае?
×
×
  • Создать...