Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

[РЕШЕНО] Mem:TRojan.win32.SEPEH.gen и HEUR:trojan.multi.genBadur.genw

Nikita P.

Автор Nikita P.
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nikita P.

Nikita P.

Опубликовано
Опубликовано (изменено)

Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

2024-12-19_23-01-56.png

CollectionLog-2024.12.19-23.27.zip

Изменено пользователем Nikita P.
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.


 

Цитата

Client Helper 6.1.6

gt-launcher 5.3.1

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1725300998456');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1725300996407');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730575625703');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730575628363');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано

дополню. Компьютер стоял без нагрузки последний час с открытым диалогом, после чего появилс экран смерти( ранее такого не было)

 

thyrex

thyrex

Опубликовано
Опубликовано

Скрипт лечения написан сообщением выше. Приступайте.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\ProgramData\NameserverUpdate.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\Run: [YandexBrowserAutoLaunch_2ACEF05A6BD8E1550E626C7FE5E7CCBD] => "C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {4e0167de-bcb3-4f0b-b5b4-c10252822e1e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
C:\Users\прудик сво\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\abllidogonacmlfecmnmmmdfdcplgpac
C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kbfdobfbaembjngeejdpapfmjomfidbb
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-19] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
R2 AUEPLauncher; C:\Program Files\AMD\CIM\..\Performance Profile Client\AUEPDU.exe [0 0] (AMD) <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-19] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S2 DrWebCldSvc; "C:\Program Files\DrWeb\dwcloudhost.exe" [X]
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-18] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\Windows\TEMP\sgnkqesxnyxf.sys [14544 2024-12-19] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
C:\Windows\TEMP\sgnkqesxnyxf.sys
2024-10-19 17:50 - 2024-12-20 00:27 - 000007163 _____ C:\Users\прудик сво\ex-list2.json
2024-10-19 17:50 - 2024-10-19 17:56 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\ClientHelper
2024-10-19 17:50 - 2024-10-19 17:50 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\com.gtoppocket.launcher
2024-08-16 23:05 - 2024-12-12 11:35 - 000000304 _____ () C:\Users\прудик сво\uTorrentPro.dat
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [TCP Query User{8AA02C1B-DAEC-440C-B673-E04941158C19}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{5C16B6F3-6242-4C42-A90E-78F17B442B84}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{974BA55A-80A4-4C21-BD12-70609B1D103F}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{A17AE3A9-F3FD-432B-8FF7-79A805CBA147}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{0827A7EC-AA04-49B0-A353-8006949EFE61}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{39BE8472-36B0-4234-B752-E1C91EA16A28}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{C7911AE9-3CDF-4776-A996-4B20545FBF16}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpnSvc.exe => Нет файла
FirewallRules: [{AA851B8D-26ED-4FC8-965C-2826B330A9FD}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpn.exe => Нет файла
FirewallRules: [{D0565571-9566-41B3-AE4C-5F061965216B}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
FirewallRules: [{03D0BBBE-4FF8-4C84-8611-226824E85010}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла
FirewallRules: [{C0450F11-176F-4FB2-B9A6-26B27727A8BE}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано
4 минуты назад, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано

К  сожалению нет. Вирусы на месте и видеокарта продолжает грузиться на 100% на рабочем столе.

2024-12-20_21-55-11.png

закрыл диспетчер задач

2024-12-20_21-57-26.png

 

сейчас  heur троян пропал, остался только второй

 

thyrex

thyrex

Опубликовано
Опубликовано

Удалите старые логи FRST.txt и Addition.txt, сделайте новые.

thyrex

thyrex

Опубликовано
Опубликовано

Выполните написанное ниже в безопасном режиме загрузки


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-20] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\NameserverUpdate.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано
21.12.2024 в 00:29, thyrex сказал:

Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

 

Fixlog.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • Sandslash
      Иногда очень тормозит и виснет винда, хотя ничего этого не предвещает и не показывает.
      Автор Sandslash
      Итак характеристики компа:
      Имя устройства    DESKTOP-7NEAPVT
      Процессор    Intel(R) Core(TM) i5-10400F CPU @ 2.90GHz   2.90 GHz
      Оперативная память    24,0 ГБ
      Код устройства    4632F276-48EE-403A-A0F2-7C5576D97967
      Код продукта    00330-80000-00000-AA135
      Тип системы    64-разрядная операционная система, процессор x64
      Перо и сенсорный ввод    Для этого монитора недоступен ввод с помощью пера и сенсорный ввод
      Выпуск    Windows 10 Pro
      Версия    22H2
      Дата установки    ‎15.‎06.‎2023
      Сборка ОС    19045.6093
      Взаимодействие    Windows Feature Experience Pack 1000.19062.1000.0
       
      Симптомы:
      Иногда, непонятно с чем это может быть связано, по крайней мере я никакой зависимости отследить не смог. Просто при работе в условном excel Винда наглухо зависает: мышь не двигается, не переключаются окна. Точнее как, переключаются с задержкой в полминуты. То есть не работает именно интерфейс. При этом я могу комбинацией клавиш открыть диспетчер задач, например. В котором не отображается ничего сверхестественного, загрузка памяти процентов 40, остальное вообще по нулям. я выгнал из автозапуска всякие трейные приложения, которые не нужны - не помогает. Аида тоже ничего такого не выявила, стресстесты идут нормально ни температуры ни троттлинга. тесты памяти и дисков тоже ничего не показали.
      PS винда и стоит на НВМЕ диске, как и всякие рабочие файлы.
      Эта ситуация возникает не часто, например пару раз за рабочий день или вообще не возникает. как я уже говорил - непонятно с чем связано. Никакими высоконагрузочными прогами я не пользуюсь, обычная офисная работа, инет.
       
      Понятно, что можно просто переустановить старушку. А вдруг какая дрянь сидит? или проблема с памятью или дисками или ещё с чем мне неведомым.
      Если есть возможность покопаться - буду рад помощи.
    • СергейЧ
      MEM:Trojan.Win32.SEPEH.gen
      Автор СергейЧ
      Добрый день. Собирался создавать отдельную тему с таким же вопросом, вчера играл в BlackDesert и фоном касперский выдал что нашел MEM:Trojan.Win32.SEPEH.gen но не указал конкретно на клиент БДО, а ссылается на системную память. 2жды была снесена система и загружена с флешки с нуля, 2жды после этого была установлена другая игра при нахождении в которой каспер при быстрой проверке находит все тот же MEM:Trojan.Win32.SEPEH.gen. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
    • Dmitry5487
      Появился вирус на компьютере mem:Trojan.Win32.SEPEH.gen. Касперский не удаляет.
      Автор Dmitry5487
      Добрый день! Вчера появился вирус при фоновом сканировании системы - mem:Trojan.Win32.SEPEH.gen. Касперский его вроде удаляет, но после он снова появляется. Прошу помощи в решении этой проблемы!
      Сейчас он снова нашел вирус, я не стал его удалять, сделал логи и пришел к вам 😃
      При обнаружении антивирус пишет вот это:
      Событие: Обнаружен вредоносный объект
      Пользователь: HOMEPC\User
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: MEM:Trojan.Win32.SEPEH.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Экспертный анализ
      Дата выпуска баз: Сегодня, 02.12.2025 13:09:00
      Помогите, пожалуйста!
      UPD
      Увидел похожую тему, там у человека антивирус жалуется на игру Black Desert online. У меня она тоже есть. Почти постоянно висит в трее. Скачана с оф сайта.
       CollectionLog-2025.12.02-16.30.zip
    • Denis08
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Denis08
      Добрый день, уважаемые эксперты! 
      У меня установлен Kaspersky Plus. Со вчерашнего дня начал находить вирус.
      Вот из отчета:
       
      Событие: Обнаружен вредоносный объект
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: MEM:Trojan.Win32.SEPEH.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: BlackDesert64.exe
      Путь к объекту: pmem:\C:\Pearlabyss\BlackDesert\bin64
      Причина: Экспертный анализ
      Дата выпуска баз: Вчера, 01.12.2025 18:26:00
       
      Выбираю лечить с перезагрузкой, перезагружается, делаю быструю проверку, все хорошо. После запуска приложения опять ругается. Если не лечить, а просто закрыть приложение, то проверка опять ничего не находит. Kaspersky Virus Removal Tool ничего не нашел. Файл логов прикладываю. Заранее благодарю.
       
      CollectionLog-2025.12.02-15.23.zip
×
×
  • Создать...