Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Активное заражение Win64.SEPEH

Alexandr_XML

Автор Alexandr_XML
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alexandr_XML Новичок

Alexandr_XML

Опубликовано
Опубликовано

Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.

CollectionLog-2024.11.12-07.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Alexandr_XML Новичок

Alexandr_XML

Опубликовано
  • Автор
Опубликовано (изменено)

 

Win32.64.SEPEH.txt

 

13 часов назад, Alexandr_XML сказал:

 

Win32.64.SEPEH.txt 1 MB · 0 загрузок

Также был обнаружен HEUR:Trojan.Win64.Reflo.pef

Изменено пользователем Alexandr_XML
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Сегодня, 12.11.2024 6:18:39    pmem:\C:\Program Files (x86)\MSI\MSI Center\MSI.CentralServer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files (x86)\MSI\MSI Center    MSI.CentralServer.exe    Обнаружено    Троянское приложение    Высокая    Точно    WILLNET\sasha    Активный пользователь

 

Сегодня, 12.11.2024 6:56:32    C:\ProgramData\Microsoft\Search\setup.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win64.Reflo.pef    Машинное обучение    Файл    C:\ProgramData\Microsoft\Search    setup.exe    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    WILLNET\sasha    Активный пользователь

 

 

сделайте дополнительно образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
hide %SystemDrive%\PROGRAM FILES (X86)\CANON\IJPLM\IJPLMSVC.EXE
hide G:\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\SASHA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.22_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\GOODBYEDPI.EXE
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

очистите отчеты в антивирусе Касперского, сделайте новую проверку, и добавьте отчет о проверке.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM-x32\...\Run: [] => [X]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-10-11] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По возможности, обновите данное ПО:

 

Oracle VM VirtualBox 7.0.22 v.7.0.22 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Discord v.1.0.9154 Внимание! Скачать обновления
Zoom Workplace v.6.1.12 (46889) Внимание! Скачать обновления
Viber v.23.1.0.0 Внимание! Скачать обновления

Adobe Acrobat v.24.003.20180 Внимание! Скачать обновления

----------

кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Alexandr_XML Новичок

Alexandr_XML

Опубликовано
  • Автор
Опубликовано

Готово! Благодарю вас, safety, за помощь в решении этого вопроса! Вы спасли мой компьютер и сохранили целостность инфраструктуры.

Желаю вам удачи в разрешении проблем и мирного Вам интернета! Без таких людей, как вы, мы бы все оказались в огромной сети ботнетов, и это в лучшем случае😀!

 

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      Автор Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
    • Егоррр
      Троян - MEM:Trojan.Win32.SEPEH
      Автор Егоррр
      Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

      отчет.rar
    • NeVoms
      Trojan.Win32.SEPEH
      Автор NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      Автор rottingcorpse
      fff.zip
    • velykov
      Активность Trojan.Encoder.37448
      Автор velykov
      Здравствуйте, возможно ли расшифровать данные предположительно после Trojan.Encoder.37448, судя по всему что-то в размере 1кб дописано в каждый файл, расширения у всех офисных файлов, картинок стали с расширением *.1cxz рядом лежит файл #HowToRecover.txt с содержимым:
       
       
      Есть пример зашифрованных стандартных картинок, например хризантема и в зип архиве пример зашифрованного файла. Иконка у зашифрованного файла в виде черного символа биткойна.

      #HowToRecover.txt t8TcrwidL6.zip
      Addition.txt FRST.txt
×
×
  • Создать...