Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Mem:TRojan.win32.SEPEH.gen и HEUR:trojan.multi.genBadur.genw

Nikita P.

Автор Nikita P.
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nikita P.

Nikita P.

Опубликовано
Опубликовано (изменено)

Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

2024-12-19_23-01-56.png

CollectionLog-2024.12.19-23.27.zip

Изменено пользователем Nikita P.
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.


 

Цитата

Client Helper 6.1.6

gt-launcher 5.3.1

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1725300998456');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1725300996407');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730575625703');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730575628363');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано

дополню. Компьютер стоял без нагрузки последний час с открытым диалогом, после чего появилс экран смерти( ранее такого не было)

 

thyrex

thyrex

Опубликовано
Опубликовано

Скрипт лечения написан сообщением выше. Приступайте.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\ProgramData\NameserverUpdate.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\Run: [YandexBrowserAutoLaunch_2ACEF05A6BD8E1550E626C7FE5E7CCBD] => "C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {4e0167de-bcb3-4f0b-b5b4-c10252822e1e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
C:\Users\прудик сво\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\abllidogonacmlfecmnmmmdfdcplgpac
C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kbfdobfbaembjngeejdpapfmjomfidbb
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-19] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
R2 AUEPLauncher; C:\Program Files\AMD\CIM\..\Performance Profile Client\AUEPDU.exe [0 0] (AMD) <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-19] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S2 DrWebCldSvc; "C:\Program Files\DrWeb\dwcloudhost.exe" [X]
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-18] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\Windows\TEMP\sgnkqesxnyxf.sys [14544 2024-12-19] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
C:\Windows\TEMP\sgnkqesxnyxf.sys
2024-10-19 17:50 - 2024-12-20 00:27 - 000007163 _____ C:\Users\прудик сво\ex-list2.json
2024-10-19 17:50 - 2024-10-19 17:56 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\ClientHelper
2024-10-19 17:50 - 2024-10-19 17:50 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\com.gtoppocket.launcher
2024-08-16 23:05 - 2024-12-12 11:35 - 000000304 _____ () C:\Users\прудик сво\uTorrentPro.dat
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [TCP Query User{8AA02C1B-DAEC-440C-B673-E04941158C19}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{5C16B6F3-6242-4C42-A90E-78F17B442B84}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{974BA55A-80A4-4C21-BD12-70609B1D103F}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{A17AE3A9-F3FD-432B-8FF7-79A805CBA147}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{0827A7EC-AA04-49B0-A353-8006949EFE61}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{39BE8472-36B0-4234-B752-E1C91EA16A28}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{C7911AE9-3CDF-4776-A996-4B20545FBF16}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpnSvc.exe => Нет файла
FirewallRules: [{AA851B8D-26ED-4FC8-965C-2826B330A9FD}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpn.exe => Нет файла
FirewallRules: [{D0565571-9566-41B3-AE4C-5F061965216B}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
FirewallRules: [{03D0BBBE-4FF8-4C84-8611-226824E85010}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла
FirewallRules: [{C0450F11-176F-4FB2-B9A6-26B27727A8BE}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано
4 минуты назад, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано

К  сожалению нет. Вирусы на месте и видеокарта продолжает грузиться на 100% на рабочем столе.

2024-12-20_21-55-11.png

закрыл диспетчер задач

2024-12-20_21-57-26.png

 

сейчас  heur троян пропал, остался только второй

 

thyrex

thyrex

Опубликовано
Опубликовано

Удалите старые логи FRST.txt и Addition.txt, сделайте новые.

thyrex

thyrex

Опубликовано
Опубликовано

Выполните написанное ниже в безопасном режиме загрузки


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-20] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\NameserverUpdate.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Nikita P.

Nikita P.

Опубликовано
  • Автор
Опубликовано
21.12.2024 в 00:29, thyrex сказал:

Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

 

Fixlog.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Бойко Александр
      Не лечится вирус MEM:Trojan.Win32.SEPEH.gen
      Автор Бойко Александр
      Kaspersky Free находит, предлагает вылечить, но ничего не может сделать с вирусом MEM:Trojan.Win32.SEPEH.gen. Если верить антивирусу, он "расползся" уже по полусотне файлов (см. отчёт во вложении), в первую очередь ругается на svchost.exe. Вылечить без перезагрузки "касперский" не может, с перезагрузкой - якобы лечит, но по факту заражение остаётся, новый скан показывает те же и новые заражения.
      Что vyt сделать, чтобы подробно продиагностировать и решить проблему? 
      2026-05-26.zip
    • JIOCb
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw
      Автор JIOCb
      Добрый день.

      С 20.04.2026 KES в корпоративной сети стал обнаруживать в памяти троян:

      Описание результата: Не обработано
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Пользователь: PR-COM-240808\user (Инициатор)
      Объект: System Memory
      Причина: Записано в отчет

      Скопировать в карантин/вылечить/выяснить источник напрямую не удалось.
      Экспериментальным методом пришёл к следующему: вирус детектится если включена служба "Агент администрирования Kaspersky Security Center" и есть интернет (доступ до нашего сервера отключал на роутере, без него также происходит детекция). Дальнейшее отключение интернета/остановка службы никак не влияют, вирус продолжает детектиться.
      Вирус обнаруживается только в System Memory, сканирование файловой системы результата не даёт, проверка инсталлятора, который используем - также без детекций. Обнаруживается вирус как KES так и KVR. CureIt никаких проблем не видит.

      Инсталлятор, которым пользуемся, могу выложить через какой-нибудь файлообменник (объём превышает 5 MB).

      Во вложении лог автологгера, выполнен на свежеустановленной ОС с агентом.

      Заранее спасибо.
      CollectionLog-2026.04.24-15.58.zip
    • Михаил11
      Помогите удалить майнер
      Автор Михаил11
      Не могу удалить майнер. Постоянно удаляю вирус, а он заного восстанавливается сразу в процессе удаления, поверх окон вылезает архив paks.exe. Через поиск не нахожу не один из файлов, папок или архивов которые были замечены Курейтом. Вижу через курейт расположение файла, а зайти в папку не могу и в безопасном режиме не вижу ни одного файла или папки, как будто их не существует.  
      Вирус похоже отобрал права администратора, закрывает папки, диспетчер задач и браузер если в обычном режиме загрузки пытаюсь найти его. Даже после удаления Курейтом, всë равно компьютер ведёт себя так же. 
      Кунейтра пишет, что файлы в папке С:\/programData,\WindowsTask
      но этой папки даже в скрытых нет. 
       
      Файлы:
      AppHost.exe, audiodg.exe, MicrosoftHost.exe, appmodule.exe, widhost.exe, adm.exe, taskhostw.exe, taskhost.exe.
       
      Последние два в папке \programdata\RealtekHd которой  в безопасном режиме тоже не существует. 
    • Tungus
      Как настроить Wake-on-LAN на ПК компании для работы с KSC?
      Автор Tungus
      Приветствую!
      В компании остро стоит проблема с обновлениями систем, баз данных Касперского и пр.
      Из-за веры в то, что "кампутер СГОРИТ если его оставлять включенным постоянно", большинство работников каждый день выключают ПК. Из-за этого, зачастую бОльшая часть ПК не обновляется, т.к. обновлять во время рабочего дня неудобно - некоторые обновления Windows, к примеру, требуют обязательной перезагрузки.

      Поэтому я решил настроить Wake-on-LAN функцию. Соответственно возникает вопрос, ежели KSC у меня стоит на виртуалке, что находится на сервере (они вдвоем находятся в домене и видят остальные ПК), нужно ли мне что-то делать в настройках Сети/KSC чтобы у них заработал Wake-on-LAN?

      Также немножко оффтопик вопрос к тем, кто уже успешно настроил у себя Wake-on-LAN. Были ли у вас проблемы, что после включения этой функции в BIOS и настройки в Диспетчере устройств сетевой карты, при выключении ПК, он у вас через 3-5 секунд запускается сам? Причем, в моем случае, это происходит даже когда запрос на Wake-on-LAN не был отправлен с KSC или каким-либо другим образом.

      Буду благодарен помощи от гуру мастеров Касперского 😄
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
×
×
  • Создать...