Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen

[Kedri]

Добрый день.

 

Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).

CollectionLog-2025.01.21-12.48.zip

[safety]

Добавьте отчет по сканированию и обнаружению угроз из антивируса Касперского.

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Kedri]

WIN-VM0NOOOMC4N_2025-01-21_13-21-24_v4.99.6v x64.7z Отчет Kaspersky 21.01.2025.txt

[safety]

Цитата

Сегодня, 21.01.2025 12:21:44    Запрещено    Kaspersky Free    Kaspersky Free    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        WIN-VM0NOOOMC4N\User    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    
Сегодня, 21.01.2025 12:21:44    Запрещено    Kaspersky Free    Kaspersky Free    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.19        WIN-VM0NOOOMC4N\User    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно    System Memory    System Memory        Файл    

Образ автозапуска сейчас проверю.

[safety]

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\TASKHOST
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\TASKHOSTW
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Win64/GenKryptik 7

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CISTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CFPCONFG.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CIS.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0UU5KOA1.DEFAULT\EXTENSIONS\STAGED\HELPER-SIG@SAVEFROM.NET.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref {4255A182-CAD9-4214-A19B-7BA7FB633BBD}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\SMARTDRAW 2020\SDTHUMBNAIL.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\108.0.5359.125\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %Sys32%\NICEPDF.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST, для контроля очистки.

[Kedri]

2025-01-21_13-48-02_log.txt Addition.txt FRST.txt

[safety]

Хорошо, чуть позже проверю.

----

судя по логу зловред должен быть удален:

Удаление файлов...
C:\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 0 из 1

---------

логи FRST сейчас проверю

Изменено 13 часов назад пользователем safety

[safety]

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 KMIDTIPP; C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe [X]
2025-01-21 11:50 - 2025-01-21 13:48 - 000000000 ____D C:\ProgramData\vgodrqhybann
2021-02-16 18:46 C:\Program Files\AVG
2021-02-16 18:46 C:\Program Files\ByteFence
2021-02-16 18:46 C:\Program Files\Cezurity
2021-02-16 18:46 C:\Program Files\COMODO
2021-02-16 18:46 C:\Program Files\Enigma Software Group
2021-02-16 18:46 C:\Program Files\ESET
2021-02-16 18:46 C:\Program Files\Malwarebytes
2021-02-16 18:46 C:\Program Files\SpyHunter
2021-02-16 18:46 C:\Program Files (x86)\360
2021-02-16 18:46 C:\Program Files (x86)\AVAST Software
2021-02-16 18:46 C:\Program Files (x86)\AVG
2021-02-16 18:46 C:\Program Files (x86)\Cezurity
2021-02-16 18:46 C:\Program Files (x86)\GRIZZLY Antivirus
2021-02-16 18:46 C:\Program Files (x86)\Microsoft JDX
2021-02-16 18:46 C:\Program Files (x86)\Panda Security
2021-02-16 18:46 C:\Program Files (x86)\SpyHunter
2021-02-16 18:46 C:\Windows\speechstracing
2021-02-16 18:46 C:\Program Files\Common Files\McAfee
2021-02-16 18:46 C:\ProgramData\360safe
2021-02-16 18:46 C:\ProgramData\Avira
2021-02-16 18:46 C:\ProgramData\Doctor Web
2021-02-16 18:46 C:\ProgramData\ESET
2021-02-16 18:46 C:\ProgramData\grizzly
2021-02-16 18:46 C:\ProgramData\Indus
2021-02-16 18:46 C:\ProgramData\Malwarebytes
2021-02-16 18:46 C:\ProgramData\MB3Install
2021-02-16 18:46 C:\ProgramData\McAfee
2021-02-16 18:46 C:\ProgramData\Norton
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/win-10/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1395200 2021-01-13] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2021-01-13] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usocore.dll [903168 2021-04-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [359936 2020-11-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3041792 2021-04-14] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

[Kedri]

Fixlog после первой очистки (до восстановления поврежденных служб):

Fixlog.txt

[safety]

ок, далее применяем твики для восстановления работы системных служб + перезагрузка системы

и выполняем скрипт очистки в FRST для удаления подменных служб

[Kedri]

Fixlog и другие файлы FRST после восстановления системных служб и очистки.

Addition.txt Fixlog.txt FRST.txt

[safety]

левые службы зачищены

 

Можно удалить прежние отчеты по сканированию Касперского и выполнить новое сканирование на предмет проверки детекта SEPEH

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[Kedri]

Txt-файл от Security Check. Сканирование на поиск Sepeh сейчас запускается.

SecurityCheck.txt

[safety]

Хорошо, дождемся результата контрольного сканирования.

Если все будет успешно, напишу рекомендации по обновлению ПО.

[Kedri]

Kaspersky пока все зараженные ранее файлы указывает как обнаруженные (с тем же временем обнаружения вируса в районе 12 часов).

Kaspersky проверка.txt