.png.7cedf2eda455330fd095b4f4e074044d.png)
[РЕШЕНО] Mem:TRojan.win32.SEPEH.gen и HEUR:trojan.multi.genBadur.genw
Автор
Nikita P.
в Помощь в удалении вирусов
-
Похожий контент
-
Автор Serebro
Всем привет
Словил вирус RMS при попытке установить паленую игру по ссылке
Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное.
Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes.
Поставил Kaspersky Plus 21.25 последний обновленный.
Нашел лог работы RMS, в нем все записи имеют вид:
Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).
Журналы системы удалились за эти дни, не успел их посмотреть.
Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.
В принципе понятно что это и как работает, и что сам виноват, но хочется
1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
Система Windows 10 22H2
Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip
avz_sysinfo.zip cureit.rar
-
Автор Бойко Александр
Kaspersky Free находит, предлагает вылечить, но ничего не может сделать с вирусом MEM:Trojan.Win32.SEPEH.gen. Если верить антивирусу, он "расползся" уже по полусотне файлов (см. отчёт во вложении), в первую очередь ругается на svchost.exe. Вылечить без перезагрузки "касперский" не может, с перезагрузкой - якобы лечит, но по факту заражение остаётся, новый скан показывает те же и новые заражения.
Что vyt сделать, чтобы подробно продиагностировать и решить проблему?
2026-05-26.zip
-
Автор JIOCb
Добрый день.
С 20.04.2026 KES в корпоративной сети стал обнаруживать в памяти троян:
Описание результата: Не обработано
Тип: Троянская программа
Название: HEUR:Trojan.Multi.GenBadur.genw
Пользователь: PR-COM-240808\user (Инициатор)
Объект: System Memory
Причина: Записано в отчет
Скопировать в карантин/вылечить/выяснить источник напрямую не удалось.
Экспериментальным методом пришёл к следующему: вирус детектится если включена служба "Агент администрирования Kaspersky Security Center" и есть интернет (доступ до нашего сервера отключал на роутере, без него также происходит детекция). Дальнейшее отключение интернета/остановка службы никак не влияют, вирус продолжает детектиться.
Вирус обнаруживается только в System Memory, сканирование файловой системы результата не даёт, проверка инсталлятора, который используем - также без детекций. Обнаруживается вирус как KES так и KVR. CureIt никаких проблем не видит.
Инсталлятор, которым пользуемся, могу выложить через какой-нибудь файлообменник (объём превышает 5 MB).
Во вложении лог автологгера, выполнен на свежеустановленной ОС с агентом.
Заранее спасибо.
CollectionLog-2026.04.24-15.58.zip
-
Автор Михаил11
Не могу удалить майнер. Постоянно удаляю вирус, а он заного восстанавливается сразу в процессе удаления, поверх окон вылезает архив paks.exe. Через поиск не нахожу не один из файлов, папок или архивов которые были замечены Курейтом. Вижу через курейт расположение файла, а зайти в папку не могу и в безопасном режиме не вижу ни одного файла или папки, как будто их не существует.
Вирус похоже отобрал права администратора, закрывает папки, диспетчер задач и браузер если в обычном режиме загрузки пытаюсь найти его. Даже после удаления Курейтом, всë равно компьютер ведёт себя так же.
Кунейтра пишет, что файлы в папке С:\/programData,\WindowsTask
но этой папки даже в скрытых нет.
Файлы:
AppHost.exe, audiodg.exe, MicrosoftHost.exe, appmodule.exe, widhost.exe, adm.exe, taskhostw.exe, taskhost.exe.
Последние два в папке \programdata\RealtekHd которой в безопасном режиме тоже не существует.
-
Автор Tungus
Приветствую!
В компании остро стоит проблема с обновлениями систем, баз данных Касперского и пр.
Из-за веры в то, что "кампутер СГОРИТ если его оставлять включенным постоянно", большинство работников каждый день выключают ПК. Из-за этого, зачастую бОльшая часть ПК не обновляется, т.к. обновлять во время рабочего дня неудобно - некоторые обновления Windows, к примеру, требуют обязательной перезагрузки.
Поэтому я решил настроить Wake-on-LAN функцию. Соответственно возникает вопрос, ежели KSC у меня стоит на виртуалке, что находится на сервере (они вдвоем находятся в домене и видят остальные ПК), нужно ли мне что-то делать в настройках Сети/KSC чтобы у них заработал Wake-on-LAN?
Также немножко оффтопик вопрос к тем, кто уже успешно настроил у себя Wake-on-LAN. Были ли у вас проблемы, что после включения этой функции в BIOS и настройки в Диспетчере устройств сетевой карты, при выключении ПК, он у вас через 3-5 секунд запускается сам? Причем, в моем случае, это происходит даже когда запрос на Wake-on-LAN не был отправлен с KSC или каким-либо другим образом.
Буду благодарен помощи от гуру мастеров Касперского 😄
-
Рекомендуемые сообщения