[РЕШЕНО] Trojan.Win32.SEPEH

[Dmitry Axe]

Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.

CollectionLog-2025.01.20-17.45.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Client Helper 6.1.6

Если не получится стандартно, удалите принудительно с помощью Geek Uninstaller

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('RunGame');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено 20 января пользователем Sandor

[Dmitry Axe]

Сделал, во вложении

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  Task: {7AC5F097-8CAF-4CB8-A5CA-5C191A635ADF} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-03-26] (Microsoft Windows -> Microsoft Corporation) -> "function Local:DvhDXrWjfhGf{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$sETVckRhinnZwZ,[Parameter(Position=1)][Type]$swPtRFJHlJ)$UyFMydPXKdN=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+'l'+[Char](101) (запись имеет ещё 5037 символов). <==== ВНИМАНИЕ
  C:\Users\Legap\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dpedabmiplgbegllihbpflmdagbnhaje
  C:\Users\Legap\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lhhpiflkmioihlkcccfkmopoifhdklpb
  C:\Users\Legap\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ebccjjbcieaaklgaaikbndoncicdhgmn
  C:\Users\Legap\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\keikfendmcinaeinkdccdjidmogaaain
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-07] (Microsoft Windows -> Microsoft Corporation)
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Dmitry Axe]

Перезагрузил с исправлениями по скрипту, лог в приложении

Fixlog.txt

 

Если что после перезагрузки Касперсикй нашел Trojan.Multi.Agent (был также, но в один момент пропал перед обращением моим к вам - поэтому не стал упоминать) и Trojan.Win32.SEPEH.

[Dmitry Axe]

И еще одно наблюдение - после запуска ОС кратковременно наблюдается (очень быстро мигает) командная строка. 

[Sandor]

Выполните ещё раз этот же скрипт в безопасном режиме.

Затем, в нормальном режиме соберите новые логи FRST.txt и Addition.txt

[Dmitry Axe]

Сделал по инструкции

Addition.txt FRST.txt Fixlog.txt

[Sandor]

Хорошо. Сделайте ещё раз полную проверку антивирусом Касперского и сообщите результат.

[Dmitry Axe]

К сожалению не помогло -Trojan.Multi.Agent и Trojan.Win32.SEPEH были обнаружены при сканировании Касперским. Как только появилось подключение к сети трояны активировались вновь.

[Dmitry Axe]

В приложении отчеты при сканировании по мониторингу активности и интернет защите для информации

321.txt 123.txt

[safety]

Цитата

Сегодня, 21.01.2025 12:52:24    Обнаружен вредоносный объект    Kaspersky Premium    Kaspersky Premium    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        Legion\Dmitriy Axenov    Активный пользователь    Обнаружено: MEM:Trojan.Win32.SEPEH.gen    Обнаружено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    Экспертный анализ
Сегодня, 21.01.2025 12:52:24    Запрещено    Kaspersky Premium    Kaspersky Premium    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        Legion\Dmitriy Axenov    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    

 

 

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 23 января пользователем safety

[Dmitry Axe]

Сделал по инструкции

LEGION_2025-01-21_20-16-07_v4.99.6v x64.7z

[safety]

есть потоки и подмена процессов:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [12368]

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [1328], tid=11480

 

скрипт очистки сейчас подготовлю

Этот файл проверьте, пожалуйста, на virustotal.com, и дайте ссылки на результат проверки

C:\PROGRAMDATA\MOZILLA\FIRFOX.EXE

[Dmitry Axe]

Ссылка

https://www.virustotal.com/gui/file/6f9a4a0a1f837dfef070ed326a14d9629f4d94f98600c80cdda2d07778988381/details