Перейти к содержанию
Правила раздела

[РЕШЕНО] Активное заражение Win64.SEPEH

Alexandr_XML

Автор Alexandr_XML
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alexandr_XML

Alexandr_XML

Опубликовано
Опубликовано

Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.

CollectionLog-2024.11.12-07.12.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Сегодня, 12.11.2024 6:18:39    pmem:\C:\Program Files (x86)\MSI\MSI Center\MSI.CentralServer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files (x86)\MSI\MSI Center    MSI.CentralServer.exe    Обнаружено    Троянское приложение    Высокая    Точно    WILLNET\sasha    Активный пользователь

 

Сегодня, 12.11.2024 6:56:32    C:\ProgramData\Microsoft\Search\setup.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win64.Reflo.pef    Машинное обучение    Файл    C:\ProgramData\Microsoft\Search    setup.exe    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    WILLNET\sasha    Активный пользователь

 

 

сделайте дополнительно образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
hide %SystemDrive%\PROGRAM FILES (X86)\CANON\IJPLM\IJPLMSVC.EXE
hide G:\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\SASHA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.22_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\GOODBYEDPI.EXE
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

очистите отчеты в антивирусе Касперского, сделайте новую проверку, и добавьте отчет о проверке.

safety

safety

Опубликовано
Опубликовано

Судя по новым отчетам Касперского SEPEH и Reflo были удалены.

Сделайте дополнительно логи FRST для контроля.

safety

safety

Опубликовано
Опубликовано

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM-x32\...\Run: [] => [X]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-10-11] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

safety

safety

Опубликовано
Опубликовано (изменено)

По возможности, обновите данное ПО:

 

Oracle VM VirtualBox 7.0.22 v.7.0.22 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Discord v.1.0.9154 Внимание! Скачать обновления
Zoom Workplace v.6.1.12 (46889) Внимание! Скачать обновления
Viber v.23.1.0.0 Внимание! Скачать обновления

Adobe Acrobat v.24.003.20180 Внимание! Скачать обновления

----------

кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция.

Изменено пользователем safety
  • Спасибо (+1) 1
Alexandr_XML

Alexandr_XML

Опубликовано
  • Автор
Опубликовано

Готово! Благодарю вас, safety, за помощь в решении этого вопроса! Вы спасли мой компьютер и сохранили целостность инфраструктуры.

Желаю вам удачи в разрешении проблем и мирного Вам интернета! Без таких людей, как вы, мы бы все оказались в огромной сети ботнетов, и это в лучшем случае😀!

 

 

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      Автор rottingcorpse
      fff.zip
    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      Автор Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • NeVoms
      Trojan.Win32.SEPEH
      Автор NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
×
×
  • Создать...