Trojan.Win32.SEPEH

[Dmitry Axe]

Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.

CollectionLog-2025.01.20-17.45.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Client Helper 6.1.6

Если не получится стандартно, удалите принудительно с помощью Geek Uninstaller

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('RunGame');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено 5 часов назад пользователем Sandor

[Dmitry Axe]

Сделал, во вложении

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  Task: {7AC5F097-8CAF-4CB8-A5CA-5C191A635ADF} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-03-26] (Microsoft Windows -> Microsoft Corporation) -> "function Local:DvhDXrWjfhGf{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$sETVckRhinnZwZ,[Parameter(Position=1)][Type]$swPtRFJHlJ)$UyFMydPXKdN=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+'l'+[Char](101) (запись имеет ещё 5037 символов). <==== ВНИМАНИЕ
  C:\Users\Legap\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dpedabmiplgbegllihbpflmdagbnhaje
  C:\Users\Legap\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lhhpiflkmioihlkcccfkmopoifhdklpb
  C:\Users\Legap\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ebccjjbcieaaklgaaikbndoncicdhgmn
  C:\Users\Legap\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\keikfendmcinaeinkdccdjidmogaaain
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-07] (Microsoft Windows -> Microsoft Corporation)
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Dmitry Axe]

Перезагрузил с исправлениями по скрипту, лог в приложении

Fixlog.txt

 

Если что после перезагрузки Касперсикй нашел Trojan.Multi.Agent (был также, но в один момент пропал перед обращением моим к вам - поэтому не стал упоминать) и Trojan.Win32.SEPEH.

[Dmitry Axe]

И еще одно наблюдение - после запуска ОС кратковременно наблюдается (очень быстро мигает) командная строка. 

[Sandor]

Выполните ещё раз этот же скрипт в безопасном режиме.

Затем, в нормальном режиме соберите новые логи FRST.txt и Addition.txt

[Dmitry Axe]

Сделал по инструкции

Addition.txt FRST.txt Fixlog.txt