Перейти к содержанию

[РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen


Александр Лаптев

Рекомендуемые сообщения

Добрый день ноутбук заразился трояном

После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

image.thumb.png.9604c53a8f98c5432c268c1d43d59aa9.png

Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt

сделанные с помощью программы Farbar Recovery Scan Tool

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста, все необходимые логи согласно правилам

«Порядок оформления запроса о помощи».

+

добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

сделайте образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

ПрикрепляюDESKTOP-HHUT8KO_2024-10-29_08-49-32_v4.99.2v x64.7z как прикрепить отчет от Kaspersky Virus Removal Tool не знаю. прикрепляю скрин

Снимок.JPG

CollectionLog-2024.10.29-08.42.zip

Ссылка на комментарий
Поделиться на другие сайты

Отчеты по обнаружениям и сканированию нужны из интерфейса антивируса Касперского. (Не из KVRT)

Образ проверю немного позже.

Ссылка на комментарий
Поделиться на другие сайты

Судя по логу последнее обнаружение *SEPEH* было вчера.

Цитата

Вчера, 28.10.2024 23:49:00    pmem:\C:\Program Files\Dell\DellDataVault\DDVDataCollector.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files\Dell\DellDataVault    DDVDataCollector.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт очистки:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)/TENSOR COMPANY LTD/SBIS3PLUGIN/24.5211.42/SERVICE/MODULES/PROCESS POOL\SBIS-RPC-PROCESS-POOL300.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\USERS\ADMIN\DOWNLOADS\SYSTEM\MSXML4.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\AAERRPORT.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\KMS\KMSAUTO_FILES\BIN\KMSSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ONCE HUMAN\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\SIRUS-OPEN-LAUNCHER\RESOURCES\APP.ASAR.UNPACKED\NODE_MODULES\NODE-NOTIFIER\VENDOR\SNORETOAST\SNORETOAST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13412\OFFICE6\KSOMISC.EXE

regt 40
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Очистите отчеты по обнаружениям и сканированию в консоли антивируса Касперского.

Выполните новое сканирование, и добавьте новые отчеты по обнаружению и сканированию из антивируса Касперского.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Судя по последнему скану Касперского *SEPEH* уже нет. Возможно, то что инициировало этот детект было зачищено во вчерашних сканированиях.

 

Последний детект:

Цитата

Сегодня, 29.10.2024 13:16:34    C:\Users\admin\AppData\Local\Programs\VisualStudio\UnoSetup.exe    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.    not-a-virus:Downloader.Win32.Agentb.ac    Базы    Файл    C:\Users\admin\AppData\Local\Programs\VisualStudio    UnoSetup.exe    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-HHUT8KO\admin    Активный пользователь

 

Ссылка на комментарий
Поделиться на другие сайты

По дальнейшей очистке:

1. скачайте твики (*.reg) исправлений в реестре с данной страницы для вашей системы:

Платформа: Майкрософт Windows 10 Pro Версия 22H2 19045.5011 (X64) Язык: Русский (Россия)

для следующих служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

с этой страницы:

https://download.bleepingcomputer.com/win-services/

 

2. Выполните данные твики исправлений от имени Администратора.

3. После внесения исправлений в реестр перегрузите систему.

4. Далее выполняем очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S2 HSUURMZV; C:\ProgramData\Microsoft\Search\setup.exe [2885920 2024-10-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-17] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-09-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-16] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\WINDOWS\TEMP\ukmtzjwdrxxh.sys [14544 2024-10-28] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Если новых обнаружений нет,

 

сделайте завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

По возможности обновите данное ПО:

 

Kaspersky v.21.18.5.438 Внимание! Скачать обновления

Git v.2.46.0 Внимание! Скачать обновления

Microsoft Office 365 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Dell SupportAssist v.3.8.0.108 Внимание! Скачать обновления

Microsoft Visual Studio Code (User) v.1.89.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  v.11.2.5058.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Объекты управления Microsoft SQL Server 2008 R2 v.10.51.2500.0 Данная программа больше не поддерживается разработчиком.

Discord v.1.0.9023 Внимание! Скачать обновления
Zoom v.5.17.2 (29988) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
AmneziaVPN v.4.1.0.1 Внимание! Скачать обновления
AdGuardVPN v.2.4.1475.0
OpenVPN 2.6.8-I001 amd64 v.2.6.801 Внимание! Скачать обновления

Google Chrome v.130.0.6723.70 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Driver Booster 11 v.11.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • LorianThet
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • chebroller
      От chebroller
      Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.
      CollectionLog-2024.09.23-21.42.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Nikita P.
      От Nikita P.
      Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

      CollectionLog-2024.12.19-23.27.zip
×
×
  • Создать...