sepeh.gen [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить

[Poiluyf]

Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 

отчет.txt

Нашёл файл удалить не возможно грузит процессор.

[Poiluyf]

Запускаешь диспетчер задачь процессор сразу перестаёт получать нагрузку. 

 

образ автозапуска системы с помощью uVS

Новый ярлык.7z

[safety]

Добавьте так же основные логи по правилам.

«Порядок оформления запроса о помощи».

[Poiluyf]

готово вроде все 

 

Addition и FRST.zip

что то еще нужо

Изменено 8 ноября, 2024 пользователем Poiluyf

[safety]

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
;---------command-block---------
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LAGOFAST\УДАЛИТЬ .LNK
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
apply

czoo
restart

 

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

update:

обновите текущую страницу,

Изменено 8 ноября, 2024 пользователем safety

[safety]

9 минут назад, Poiluyf сказал:

что то еще нужо

да, нужен лог от AutoLogger.exe

[Poiluyf]

2024-11-08_08-00-07_log.txt

CollectionLog-2024.11.08-08.15.zip

Вроде все сделал

 

[safety]

 

Хорошо,

 

Цитата

Завершение процессов...
Успешно выгружен C:\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE [pid=5116]
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 2 из 2

что сейчас с детектом MEM:SEPEH?

 

Такую очистку ее выполните, по следам предыдущих заражений.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте новые логи FRST для контроля.

 

Изменено 8 ноября, 2024 пользователем safety

[Poiluyf]

Сейчас сижу с включенным диспетчером иначе начинает расти температура процессора. До этого касперский предупреждал что файл болен. Запустил AV

 

 

Изменено 8 ноября, 2024 пользователем Poiluyf

[safety]

4 минуты назад, Poiluyf сказал:

До этого касперский предупреждал что файл болен

После очистки системы в uVS Касперский продолжает детектировать SEPEH? обратите на дату детектирования, актуальная дата и время, или указывает на более раннюю отметку времени?

[Poiluyf]

Addition после лечени.zipОтчет после удаления.txt

сейчас нет вроде после быстрой проверки в касперском угроз нет. запустил полную жду.

 

сейчас появился опять нагрев и в диспетчере задач спалился этот файл dwm.exe

Отчет полной проверки.txt

 

В отчёте все указывает на время обнаружения в районе часа ночи.

[safety]

По предыдущему отчету последнее обнаружение было:

 

Цитата

Сегодня, 08.11.2024 6:39:05    pmem:\C:\Windows\System32\dwm.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Windows\System32    dwm.exe    Вылечено    Троянское приложение    Высокая    Точно    POILUYF\USER    Активный пользователь

по новому отчету последнее обнаружение было:

Цитата

Сегодня, 08.11.2024 7:58:23    pmem:\C:\Windows\System32\dwm.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Windows\System32    dwm.exe    Вылечено    Троянское приложение    Высокая    Точно    POILUYF\USER    Активный пользователь
Сегодня, 08.11.2024 8:44:27    C:\Users\USER\Desktop\AutoLogger.exe\AV\RunUnlock.inf    Защищено паролем    Обнаружен защищенный паролем архив   

Запуск скрипты предполагаю что был позже

2024.11.08 07:57
2024.11.08 04:57 UTC
Windows startup time: 2024.11.08 07:09

---------

пробуйте очистить отчеты, и сделать новую проверку в Касперском.

 

+

добавьте новые логи FRST для контроля.

Изменено 8 ноября, 2024 пользователем safety

[Poiluyf]

Полная проверка.txtОТчет быстрая проверка.txtFRST333.zip

сейчас вроде бы все чисто)

 

[safety]

по очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5400]
AlternateDataStreams: C:\Users\USER\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\USER\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{EEB89195-283D-438D-A2C5-C10B7BC9FC91}] => (Allow) C:\Program Files\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{5F36085C-F2FA-4263-AAFF-3F3F8E368BE4}] => (Allow) C:\Program Files\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{C8F94BA4-0416-43A5-B9E9-9B7792A50D22}] => (Allow) C:\Program Files\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{318C2C45-27D8-4362-8788-C04AC21F6C24}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{D82C0F44-8907-458F-A95B-935CA5E94434}] => (Allow) C:\Program Files\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{65009242-B673-4A4C-BE08-772BC90FD310}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{3F7E4FA9-320F-4DF5-B967-626699B7F588}] => (Allow) V:\Games\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{5708349C-C6BD-47AA-AA09-36E16DA126F7}] => (Allow) V:\Games\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{FE60B6BB-353C-4962-AFF2-2A769CD4E95E}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{6599E584-EF64-4BCF-BF2E-3A9CF0A1AE6E}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{10078C40-908E-4E79-95C1-07D35453FAE4}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{0406DA6F-24A2-4BB7-82A0-CCD900091A1D}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Poiluyf]

Fixlog.txtВроде бы правильно сделал