Перейти к содержанию

[РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen


Александр Лаптев

Рекомендуемые сообщения

Александр Лаптев

Добрый день ноутбук заразился трояном

После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

image.thumb.png.9604c53a8f98c5432c268c1d43d59aa9.png

Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt

сделанные с помощью программы Farbar Recovery Scan Tool

Ссылка на сообщение
Поделиться на другие сайты

Добавьте, пожалуйста, все необходимые логи согласно правилам

«Порядок оформления запроса о помощи».

+

добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
Александр Лаптев

ПрикрепляюDESKTOP-HHUT8KO_2024-10-29_08-49-32_v4.99.2v x64.7z как прикрепить отчет от Kaspersky Virus Removal Tool не знаю. прикрепляю скрин

Снимок.JPG

CollectionLog-2024.10.29-08.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Отчеты по обнаружениям и сканированию нужны из интерфейса антивируса Касперского. (Не из KVRT)

Образ проверю немного позже.

Ссылка на сообщение
Поделиться на другие сайты

Судя по логу последнее обнаружение *SEPEH* было вчера.

Цитата

Вчера, 28.10.2024 23:49:00    pmem:\C:\Program Files\Dell\DellDataVault\DDVDataCollector.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files\Dell\DellDataVault    DDVDataCollector.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт очистки:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)/TENSOR COMPANY LTD/SBIS3PLUGIN/24.5211.42/SERVICE/MODULES/PROCESS POOL\SBIS-RPC-PROCESS-POOL300.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\USERS\ADMIN\DOWNLOADS\SYSTEM\MSXML4.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\AAERRPORT.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\KMS\KMSAUTO_FILES\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ONCE HUMAN\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\SIRUS-OPEN-LAUNCHER\RESOURCES\APP.ASAR.UNPACKED\NODE_MODULES\NODE-NOTIFIER\VENDOR\SNORETOAST\SNORETOAST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\OFFICE6\KSOMISC.EXE

regt 40
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Очистите отчеты по обнаружениям и сканированию в консоли антивируса Касперского.

Выполните новое сканирование, и добавьте новые отчеты по обнаружению и сканированию из антивируса Касперского.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Судя по последнему скану Касперского *SEPEH* уже нет. Возможно, то что инициировало этот детект было зачищено во вчерашних сканированиях.

 

Последний детект:

Цитата

Сегодня, 29.10.2024 13:16:34    C:\Users\admin\AppData\Local\Programs\VisualStudio\UnoSetup.exe    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.    not-a-virus:Downloader.Win32.Agentb.ac    Базы    Файл    C:\Users\admin\AppData\Local\Programs\VisualStudio    UnoSetup.exe    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

Ссылка на сообщение
Поделиться на другие сайты

По дальнейшей очистке:

1. скачайте твики (*.reg) исправлений в реестре с данной страницы для вашей системы:

Платформа: Майкрософт Windows 10 Pro Версия 22H2 19045.5011 (X64) Язык: Русский (Россия)

для следующих служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

с этой страницы:

https://download.bleepingcomputer.com/win-services/

 

2. Выполните данные твики исправлений от имени Администратора.

3. После внесения исправлений в реестр перегрузите систему.

4. Далее выполняем очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S2 HSUURMZV; C:\ProgramData\Microsoft\Search\setup.exe [2885920 2024-10-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-17] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-16] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\WINDOWS\TEMP\ukmtzjwdrxxh.sys [14544 2024-10-28] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Если новых обнаружений нет,

 

сделайте завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

По возможности обновите данное ПО:

 

Kaspersky v.21.18.5.438 Внимание! Скачать обновления

Git v.2.46.0 Внимание! Скачать обновления

Microsoft Office 365 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Dell SupportAssist v.3.8.0.108 Внимание! Скачать обновления

Microsoft Visual Studio Code (User) v.1.89.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Объекты управления Microsoft SQL Server 2008 R2 v.10.51.2500.0 Данная программа больше не поддерживается разработчиком.

Discord v.1.0.9023 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
AmneziaVPN v.4.1.0.1 Внимание! Скачать обновления
AdGuardVPN v.2.4.1475.0
OpenVPN 2.6.8-I001 amd64 v.2.6.801 Внимание! Скачать обновления

Google Chrome v.130.0.6723.70 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Driver Booster 11 v.11.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • chebroller
      От chebroller
      Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.
      CollectionLog-2024.09.23-21.42.zip
    • fodymoran
      От fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • sassavech
      От sassavech
      Касперским был обнаружен вирус MEM:Trojan.win32.SEPEH.gen, антивирусом не удаляется и после перезагрузки появляется вновь.
      вот логи
      CollectionLog-2024.07.14-19.06.zip
    • Shony
      От Shony
      Антивирус не может удалить, после лечения вирус вновь появляется
       
      CollectionLog-2024.06.20-19.38.zip

    • Виктор Кудрявцев
      От Виктор Кудрявцев
      При попытке вылечить какой-либо анти-вирусной программой ноутбук крашит Blue Screen (скрины добавил)
      Сначала ошибка, потом синий экран, и перезагрузка. При создании темы не разобрался как прикреплять файлы поэтому загрузил на яндекс диск. Все логи свежие.
       
       


      FRST.txtAddition.txt
      DESKTOP-64C4FV7_2024-03-10_20-11-07_v4.15.1.7z CollectionLog-2024.03.10-19.58.zip
×
×
  • Создать...