Перейти к содержанию

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить


Рекомендуемые сообщения

Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 

отчет.txt

Нашёл файл удалить не возможно грузит процессор.

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
;---------command-block---------
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LAGOFAST\УДАЛИТЬ .LNK
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
apply

czoo
restart

 

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

update:

обновите текущую страницу,

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

 

Хорошо,

 

Цитата

Завершение процессов...
Успешно выгружен C:\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE [pid=5116]
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 2 из 2

что сейчас с детектом MEM:SEPEH?

 

Такую очистку ее выполните, по следам предыдущих заражений.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте новые логи FRST для контроля.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Сейчас сижу с включенным диспетчером иначе начинает расти температура процессора. До этого касперский предупреждал что файл болен. Запустил AV

 

 

Изменено пользователем Poiluyf
Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Poiluyf сказал:

До этого касперский предупреждал что файл болен

После очистки системы в uVS Касперский продолжает детектировать SEPEH? обратите на дату детектирования, актуальная дата и время, или указывает на более раннюю отметку времени?

Ссылка на комментарий
Поделиться на другие сайты

Addition после лечени.zipОтчет после удаления.txt

сейчас нет вроде после быстрой проверки в касперском угроз нет. запустил полную жду.

 

сейчас появился опять нагрев и в диспетчере задач спалился этот файл dwm.exe

Отчет полной проверки.txt

 

В отчёте все указывает на время обнаружения в районе часа ночи.

Ссылка на комментарий
Поделиться на другие сайты

По предыдущему отчету последнее обнаружение было:

 

Цитата

Сегодня, 08.11.2024 6:39:05    pmem:\C:\Windows\System32\dwm.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Windows\System32    dwm.exe    Вылечено    Троянское приложение    Высокая    Точно    POILUYF\USER    Активный пользователь

по новому отчету последнее обнаружение было:

Цитата

Сегодня, 08.11.2024 7:58:23    pmem:\C:\Windows\System32\dwm.exe    Вылечено    Объект вылечен    MEM:Trojan.Win32.SEPEH.gen        Файл    pmem:\C:\Windows\System32    dwm.exe    Вылечено    Троянское приложение    Высокая    Точно    POILUYF\USER    Активный пользователь
Сегодня, 08.11.2024 8:44:27    C:\Users\USER\Desktop\AutoLogger.exe\AV\RunUnlock.inf    Защищено паролем    Обнаружен защищенный паролем архив   

Запуск скрипты предполагаю что был позже

2024.11.08 07:57
2024.11.08 04:57 UTC
Windows startup time: 2024.11.08 07:09

---------

пробуйте очистить отчеты, и сделать новую проверку в Касперском.

 

+

добавьте новые логи FRST для контроля.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

по очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5400]
AlternateDataStreams: C:\Users\USER\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\USER\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{EEB89195-283D-438D-A2C5-C10B7BC9FC91}] => (Allow) C:\Program Files\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{5F36085C-F2FA-4263-AAFF-3F3F8E368BE4}] => (Allow) C:\Program Files\Euro Truck Simulator 2\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{C8F94BA4-0416-43A5-B9E9-9B7792A50D22}] => (Allow) C:\Program Files\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{318C2C45-27D8-4362-8788-C04AC21F6C24}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{D82C0F44-8907-458F-A95B-935CA5E94434}] => (Allow) C:\Program Files\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{65009242-B673-4A4C-BE08-772BC90FD310}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{3F7E4FA9-320F-4DF5-B967-626699B7F588}] => (Allow) V:\Games\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{5708349C-C6BD-47AA-AA09-36E16DA126F7}] => (Allow) V:\Games\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{FE60B6BB-353C-4962-AFF2-2A769CD4E95E}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{6599E584-EF64-4BCF-BF2E-3A9CF0A1AE6E}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{10078C40-908E-4E79-95C1-07D35453FAE4}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{0406DA6F-24A2-4BB7-82A0-CCD900091A1D}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • Nikita P.
      От Nikita P.
      Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

      CollectionLog-2024.12.19-23.27.zip
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • Roman1111
      От Roman1111
      У Касперского не получается его удалить, постоянно вылетает уведолмение об удалении обьекта , но ничего не удаляется и не устраняется 
×
×
  • Создать...