Перейти к содержанию

[РЕШЕНО] Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen


Рекомендуемые сообщения

Добрый день.

 

Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).

CollectionLog-2025.01.21-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте отчет по сканированию и обнаружению угроз из антивируса Касперского.

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Сегодня, 21.01.2025 12:21:44    Запрещено    Kaspersky Free    Kaspersky Free    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        WIN-VM0NOOOMC4N\User    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    
Сегодня, 21.01.2025 12:21:44    Запрещено    Kaspersky Free    Kaspersky Free    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        WIN-VM0NOOOMC4N\User    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    

Образ автозапуска сейчас проверю.

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\TASKHOST
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\TASKHOSTW
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Win64/GenKryptik 7

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CISTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CFPCONFG.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CIS.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0UU5KOA1.DEFAULT\EXTENSIONS\STAGED\HELPER-SIG@SAVEFROM.NET.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref {4255A182-CAD9-4214-A19B-7BA7FB633BBD}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\SMARTDRAW 2020\SDTHUMBNAIL.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\108.0.5359.125\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %Sys32%\NICEPDF.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST, для контроля очистки.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, чуть позже проверю.

----

судя по логу зловред должен быть удален:

Удаление файлов...
C:\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 0 из 1

---------

логи FRST сейчас проверю

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 KMIDTIPP; C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe [X]
2025-01-21 11:50 - 2025-01-21 13:48 - 000000000 ____D C:\ProgramData\vgodrqhybann
2021-02-16 18:46 C:\Program Files\AVG
2021-02-16 18:46 C:\Program Files\ByteFence
2021-02-16 18:46 C:\Program Files\Cezurity
2021-02-16 18:46 C:\Program Files\COMODO
2021-02-16 18:46 C:\Program Files\Enigma Software Group
2021-02-16 18:46 C:\Program Files\ESET
2021-02-16 18:46 C:\Program Files\Malwarebytes
2021-02-16 18:46 C:\Program Files\SpyHunter
2021-02-16 18:46 C:\Program Files (x86)\360
2021-02-16 18:46 C:\Program Files (x86)\AVAST Software
2021-02-16 18:46 C:\Program Files (x86)\AVG
2021-02-16 18:46 C:\Program Files (x86)\Cezurity
2021-02-16 18:46 C:\Program Files (x86)\GRIZZLY Antivirus
2021-02-16 18:46 C:\Program Files (x86)\Microsoft JDX
2021-02-16 18:46 C:\Program Files (x86)\Panda Security
2021-02-16 18:46 C:\Program Files (x86)\SpyHunter
2021-02-16 18:46 C:\Windows\speechstracing
2021-02-16 18:46 C:\Program Files\Common Files\McAfee
2021-02-16 18:46 C:\ProgramData\360safe
2021-02-16 18:46 C:\ProgramData\Avira
2021-02-16 18:46 C:\ProgramData\Doctor Web
2021-02-16 18:46 C:\ProgramData\ESET
2021-02-16 18:46 C:\ProgramData\grizzly
2021-02-16 18:46 C:\ProgramData\Indus
2021-02-16 18:46 C:\ProgramData\Malwarebytes
2021-02-16 18:46 C:\ProgramData\MB3Install
2021-02-16 18:46 C:\ProgramData\McAfee
2021-02-16 18:46 C:\ProgramData\Norton
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/win-10/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1395200 2021-01-13] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2021-01-13] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usocore.dll [903168 2021-04-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [359936 2020-11-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3041792 2021-04-14] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Ссылка на комментарий
Поделиться на другие сайты

ок, далее применяем твики для восстановления работы системных служб + перезагрузка системы

и выполняем скрипт очистки в FRST для удаления подменных служб

Ссылка на комментарий
Поделиться на другие сайты

левые службы зачищены

 

Можно удалить прежние отчеты по сканированию Касперского и выполнить новое сканирование на предмет проверки детекта SEPEH

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Kaspersky пока все зараженные ранее файлы указывает как обнаруженные (с тем же временем обнаружения вируса в районе 12 часов).

Kaspersky проверка.txt

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Rasik
      Автор Rasik
      После активации Microsoft Office с помощью KMSAuto появились вирусы HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen, которые не удается вылечить и удалить Kaspersky. Хотел собрать логи AutoLogger-ом и ничего не вышло, так как файл загружает обновления каких то баз, которые обращаются в интернет, но у меня нет интернета на данном ПК. Помогите пожалуйста избавиться от этих троянов). Спасибо!

    • eosex
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • KitNE
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • badmemory
      Автор badmemory
      Обнаружил у себя 2 файла этого вируса, устранить не получается
       
    • Red_1663
      Автор Red_1663
      Добрый день!
      Антивирус постоянно обнаруживает MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen. Удаляютс при перезагрузке, но при новом поиске снова находит
       
      Из логов
      pmem:\C:\Windows\explorer.exe                                   Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen         
      pmem:\C:\Users\i_sus\AppData\Roaming\Sandboxie\sandboxie.exe    Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen
      pmem:\C:\Windows\System32\conhost.exe                           Вылечено        Объект вылечен  MEM:Trojan.Multi.Agent.gen
×
×
  • Создать...