sepeh.gen [РЕШЕНО] Активное заражение Win64.SEPEH

[Alexandr_XML]

Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.

CollectionLog-2024.11.12-07.12.zip

[safety]

Добавьте так же отчет Касперского.

[Alexandr_XML]

 

Win32.64.SEPEH.txt

 

13 часов назад, Alexandr_XML сказал:

 

Win32.64.SEPEH.txt 1 MB · 0 загрузок

Также был обнаружен HEUR:Trojan.Win64.Reflo.pef

Изменено 12 ноября пользователем Alexandr_XML

[safety]

Сегодня, 12.11.2024 6:18:39    pmem:\C:\Program Files (x86)\MSI\MSI Center\MSI.CentralServer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Program Files (x86)\MSI\MSI Center    MSI.CentralServer.exe    Обнаружено    Троянское приложение    Высокая    Точно    WILLNET\sasha    Активный пользователь

 

Сегодня, 12.11.2024 6:56:32    C:\ProgramData\Microsoft\Search\setup.exe    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win64.Reflo.pef    Машинное обучение    Файл    C:\ProgramData\Microsoft\Search    setup.exe    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    WILLNET\sasha    Активный пользователь

 

 

сделайте дополнительно образ автозапуска системы с помощью uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 12 ноября пользователем safety

[Alexandr_XML]

WILLNET_2024-11-12_12-21-28_v4.99.2v x64.7z

Сделано.

[safety]

Выполните скрипт очистки в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
hide %SystemDrive%\PROGRAM FILES (X86)\CANON\IJPLM\IJPLMSVC.EXE
hide G:\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\SASHA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.22_0\SAVEFROM.NET ПОМОЩНИК
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\GOODBYEDPI.EXE
delref %SystemDrive%\USERS\SASHA\DOWNLOADS\GOODBYEDPI-0.2.3RC1-2 (1)\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

очистите отчеты в антивирусе Касперского, сделайте новую проверку, и добавьте отчет о проверке.

[Alexandr_XML]

 

Сделано.

2024-11-12_13-29-17_log.txt

 

Report_Kaspersky.txt

Изменено 12 ноября пользователем Alexandr_XML

[safety]

Судя по новым отчетам Касперского SEPEH и Reflo были удалены.

Сделайте дополнительно логи FRST для контроля.

[Alexandr_XML]

Addition.txt FRST.txt

[safety]

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM-x32\...\Run: [] => [X]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-22] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-10-11] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Alexandr_XML]

Fixlog.txt

[safety]

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Alexandr_XML]

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

Oracle VM VirtualBox 7.0.22 v.7.0.22 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Discord v.1.0.9154 Внимание! Скачать обновления
Zoom Workplace v.6.1.12 (46889) Внимание! Скачать обновления
Viber v.23.1.0.0 Внимание! Скачать обновления

Adobe Acrobat v.24.003.20180 Внимание! Скачать обновления

----------

кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция.

Изменено 12 ноября пользователем safety

[Alexandr_XML]

Готово! Благодарю вас, safety, за помощь в решении этого вопроса! Вы спасли мой компьютер и сохранили целостность инфраструктуры.

Желаю вам удачи в разрешении проблем и мирного Вам интернета! Без таких людей, как вы, мы бы все оказались в огромной сети ботнетов, и это в лучшем случае😀!