Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

[РЕШЕНО] Активное заражение Win64.SEPEH

Alexandr_XML

Автор Alexandr_XML
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alexandr_XML

Alexandr_XML

Опубликовано
Опубликовано

Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.

CollectionLog-2024.11.12-07.12.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Сегодня, 12.11.2024 6:18:39    pmem:\C:\Program Files (x86)\MSI\MSI Center\MSI.CentralServer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files (x86)\MSI\MSI Center    MSI.CentralServer.exe    Обнаружено    Троянское приложение    Высокая    Точно    WILLNET\sasha    Активный пользователь

 

Сегодня, 12.11.2024 6:56:32    C:\ProgramData\Microsoft\Search\setup.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win64.Reflo.pef    Машинное обучение    Файл    C:\ProgramData\Microsoft\Search    setup.exe    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    WILLNET\sasha    Активный пользователь

 

 

сделайте дополнительно образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
hide %SystemDrive%\PROGRAM FILES (X86)\CANON\IJPLM\IJPLMSVC.EXE
hide G:\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\SASHA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.22_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\GOODBYEDPI.EXE
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

очистите отчеты в антивирусе Касперского, сделайте новую проверку, и добавьте отчет о проверке.

safety

safety

Опубликовано
Опубликовано

Судя по новым отчетам Касперского SEPEH и Reflo были удалены.

Сделайте дополнительно логи FRST для контроля.

safety

safety

Опубликовано
Опубликовано

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM-x32\...\Run: [] => [X]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-10-11] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

safety

safety

Опубликовано
Опубликовано (изменено)

По возможности, обновите данное ПО:

 

Oracle VM VirtualBox 7.0.22 v.7.0.22 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Discord v.1.0.9154 Внимание! Скачать обновления
Zoom Workplace v.6.1.12 (46889) Внимание! Скачать обновления
Viber v.23.1.0.0 Внимание! Скачать обновления

Adobe Acrobat v.24.003.20180 Внимание! Скачать обновления

----------

кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция.

Изменено пользователем safety
  • Спасибо (+1) 1
Alexandr_XML

Alexandr_XML

Опубликовано
  • Автор
Опубликовано

Готово! Благодарю вас, safety, за помощь в решении этого вопроса! Вы спасли мой компьютер и сохранили целостность инфраструктуры.

Желаю вам удачи в разрешении проблем и мирного Вам интернета! Без таких людей, как вы, мы бы все оказались в огромной сети ботнетов, и это в лучшем случае😀!

 

 

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • СергейЧ
      MEM:Trojan.Win32.SEPEH.gen
      Автор СергейЧ
      Добрый день. Собирался создавать отдельную тему с таким же вопросом, вчера играл в BlackDesert и фоном касперский выдал что нашел MEM:Trojan.Win32.SEPEH.gen но не указал конкретно на клиент БДО, а ссылается на системную память. 2жды была снесена система и загружена с флешки с нуля, 2жды после этого была установлена другая игра при нахождении в которой каспер при быстрой проверке находит все тот же MEM:Trojan.Win32.SEPEH.gen. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
    • Denis08
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Denis08
      Добрый день, уважаемые эксперты! 
      У меня установлен Kaspersky Plus. Со вчерашнего дня начал находить вирус.
      Вот из отчета:
       
      Событие: Обнаружен вредоносный объект
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: MEM:Trojan.Win32.SEPEH.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: BlackDesert64.exe
      Путь к объекту: pmem:\C:\Pearlabyss\BlackDesert\bin64
      Причина: Экспертный анализ
      Дата выпуска баз: Вчера, 01.12.2025 18:26:00
       
      Выбираю лечить с перезагрузкой, перезагружается, делаю быструю проверку, все хорошо. После запуска приложения опять ругается. Если не лечить, а просто закрыть приложение, то проверка опять ничего не находит. Kaspersky Virus Removal Tool ничего не нашел. Файл логов прикладываю. Заранее благодарю.
       
      CollectionLog-2025.12.02-15.23.zip
    • Hrush
      Трудности с удалением вируса MEM:Trojan.Win32.SEPEH.gen
      Автор Hrush
      После установки был найден данный вредитель, касперский ругается, но сделать ничего не может. Может у вас получиться?
      otchet.txt LAPTOP-GK73GE8P_2025-09-23_22-53-16_v5_0_1v_x64.7z
    • belodrol
      [РЕШЕНО] Здраствуйте уже давно сидит этот вирус (MEM:Trojan.Win32.SEPEH.gen) касперский его видит, но удалить не может, после перезагрузки каждый раз обратно появляется
      Автор belodrol
      Обнаружен такой вирус не удаляется

      CollectionLog-2025.07.27-16.47.zip
    • Redgektor11
      [РЕШЕНО] Вирусы Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen
      Автор Redgektor11
      Здравствуйте.
      Прошу помощи с удалением вирусов Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen

      Касперский не находит их но удалить не получается, после лечения при повторной проверке они появляются снова.
      Проявляются вирусы в постоянной загрузке одного ядра процессора и загрузке видеокарты. При открытии диспетчера задач нагрузка пропадает, но не надолго.

      Пробовал сканировать при помощи Dr.Web CureIt! но безрезультатно.
       
      CollectionLog-2025.05.14-21.21.zip
×
×
  • Создать...