Перейти к содержанию

[РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen


Helixx

Рекомендуемые сообщения

Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)image.png.7c0eb66169293c3a91dd1b01367cb7a0.pngimage.thumb.png.a955aeda1f421dbca0277f860762a6dc.png

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста, дополнительно, отчеты об обнаружении и сканировании из антивируса Касперского.

+

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт очистки с автоматической перезагрузкой системы

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide D:\DWNLD\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
hide D:\DWNLD\RIMPY_WINDOWS\RIMPY.EXE
;---------command-block---------
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMHMPHNOCEMAKKJDAMPIBEHEJOALEEBPO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFPHGEIKPDCDCHEAOCHKHLDMNFBLFOGLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJCPGBNBDNAKOBLGFKBGGGANKEIDKFCDL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.20_0\SAVEFROM.NET ПОМОЩНИК
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

выполните быструю проверку системы, и добавьте новые отчеты об обнаружении и сканировании из антивируса Касперского.

+

сделайте новый образ автозапуска в uVS для контроля очистки системы.

 

Ссылка на комментарий
Поделиться на другие сайты

судя по новому отчету, новых обнаружений SEPEH.gen нет.

 

судя по образу, внедренных потоков  в процессы нет.

 

Источник данной угрозы - файл C:\USERS\USER\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE удален.

-------------------

Если других проблем не обнаружено,

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Обнаружений то да.. Но в диспетчере задач так и весит тот процесс image.thumb.png.6de29aa4182726a160c122d895696f27.png, он не вирусный? Просто раньше я такого процесса не замечал 
 

 

SecurityCheck.txt

Изменено пользователем Helixx
Ссылка на комментарий
Поделиться на другие сайты

Это системный чистый файл.

Действительна, подписано Microsoft Windows

Просто троян загружал в этот процесс вредоносные потоки, и антивирус на это реагировал.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По возможности, установите данное ПО:

 

Kaspersky v.21.18.5.438 Внимание! Скачать обновления
Git v.2.46.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.6.9 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20812 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
GitHub Desktop v.3.4.2 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.86.1 Внимание! Скачать обновления
AnyDesk v.ad 7.0.15 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.130.0.2849.80 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.24.206.1013.0004 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9030 Внимание! Скачать обновления
Viber v.11.0.0.42 Внимание! Скачать обновления
Skype, версия 8.54 v.8.54 Внимание! Скачать обновления
qBittorrent v.4.6.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 411 (64-bit) v.8.0.4110.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat (64-bit) v.22.003.20263 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 78.1.0 ESR (x64 ru) v.78.1.0 Внимание! Скачать обновления
Google Chrome v.131.0.6778.69 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 79.0.4143.22 v.79.0.4143.22 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 79.0.4143.57 v.79.0.4143.57 Внимание! Скачать обновления
Taskbar icons of Yandex services v.3.7.9.0 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
    • Lagbeast
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • Poiluyf
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Александр Лаптев
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...