Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen

ysomad

Автор ysomad
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ysomad Новичок

ysomad

Опубликовано
Опубликовано

Здравствуйте, каким-то образом словил Win32.SEPEH.gen. Касперский файлы лечит, но он появляется снова и прыгает по разным файлам.
 

  Показать контент

 

Принудительное сканирование этих файлов ничего не дает. KRD тоже ничего не нашел.
Прикрепляю логи CollectionLog-2025.01.26-21.54.zip

 

Заранее спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Добавьте отчет из антивируса Касперского о сканировании и обнаружении угроз

 

Добавьте, дополнительно,

образ автозапуска с отслеживанием процессов и задач в uVS

 

1. Скачать архив программы можно отсюда:

2 Распакуйте данный архив с программой в отдельный каталог

3. запустите из каталога uVS файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
4. В стартовом окне программы - нажмите "запустить под текущим пользователем"

(если текущий пользователь с правами администратора).

4.1 в гласном меню программы выбрать "Дополнительно" - Твики"

      нажимаем твик 39, и перегружаем систему..

4.2 после перезагрузки системы, еще раз выполняем п. 3-4 и далее 5, 6. 7 (без 4.1)

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  Цитата

Вчера, 26.01.2025 22:22:17    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Лечение невозможно    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    InstallUtil.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь
Вчера, 26.01.2025 22:22:17    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Записано в отчет    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    InstallUtil.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь

 

Показать  

Образ сейчас проверю.

 

Последние детекты все вчерашние. Сегодня детекты были?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
ysomad Новичок

ysomad

Опубликовано
  • Автор
Опубликовано
  В 27.01.2025 в 06:27, safety сказал:

Образ сейчас проверю.

 

Последние детекты все вчерашние. Сегодня детекты были?

Показать  

Да, буквально 10 минут назад был детект

KES-27.01.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

да, вижу, есть

  Цитата

Сегодня, 27.01.2025 9:26:14    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Записано в отчет    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    AddInProcess32.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь

Показать  

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Эту программу используете?

C:\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE

По текущему образу именно она является родительским процессом для AddInProcess32.exe

запуск через ключ

HKEY_USERS\S-1-5-21-2936457283-1147671101-3846342852-1001\Software\Microsoft\Windows\CurrentVersion\Run\Topazserv

cmd.exe /C start "" /D "C:\Users\Pavel\SystemRootDoc" "C:\Users\Pavel\SystemRootDoc\Topazserv.exe"

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Она отработала и процесс завершился, поэтому мы не можем увидеть что она еще за собой тянула из модулей.

Но при этом процесс AddInProcess32.exe остался в памяти.

image.png

Пробуйте отключить ее временно из автозапуска. Перегрузить систему, и еще раз проверить в Касперском будут новые детекты SEPEH или нет.

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Хорошо, можем скриптом удалить эту запись из автозапуска.

(он удалит только ссылку из реестра на запуск, сам файл не будет затронут)

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Он после исключения из автозапуска и перезагрузки в список объектов автозапуска уже не попал. значит не запускался.

--------------------------------------------------------------------------------------------------
delref %SystemDrive%\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE
--------------------------------------------------------------------------------------------------
Указанный в скрипте файл не найден в списке: C:\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE

 

Если других проблем не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
ysomad Новичок

ysomad

Опубликовано
  • Автор
Опубликовано

Прикрепляю лог

SecurityCheck.txtПолучение информации...

 

  Показать контент

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Можно отключить отслеживание процессов и задач. После запуска uVS так же входим в Дополнительно - Твики - и выполняем твик 40.

---------------

По возможности, обновите данное ПО:

 

Notepad++ (64-bit x64) v.8.6.4 Внимание! Скачать обновления
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.16327.20264 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
PuTTY release 0.80 (64-bit) v.0.80.0.0 Внимание! Скачать обновления

Python 3.12.3 (64-bit) v.3.12.3150.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления

WinRAR 6.22 (64-разрядная) v.6.22.0 Внимание! Скачать обновления

qBittorrent v.5.0.0 Внимание! Скачать обновления

Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления

K-Lite Mega Codec Pack 18.1.5 v.18.1.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.12.3.781 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.131.0.6778.265 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • badmemory
      [РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen
      Автор badmemory
      Обнаружил у себя 2 файла этого вируса, устранить не получается
       
    • Red_1663
      [РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
      Автор Red_1663
      Добрый день!
      Антивирус постоянно обнаруживает MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen. Удаляютс при перезагрузке, но при новом поиске снова находит
       
      Из логов
      pmem:\C:\Windows\explorer.exe                                   Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen         
      pmem:\C:\Users\i_sus\AppData\Roaming\Sandboxie\sandboxie.exe    Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen
      pmem:\C:\Windows\System32\conhost.exe                           Вылечено        Объект вылечен  MEM:Trojan.Multi.Agent.gen
    • INITIATED
      [РЕШЕНО] Не удается удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
      Автор INITIATED
      123.txtKIS обнаруживает два файла, определяет их как троянская программа, вылечивает один MEM:Trojan.Multi.Agent.gen, второй MEM:Trojan.Win32.SEPEH.gen пытается вылечить с перезагрузкой, но после перезагрузки вновь находит эти файлы. KVRT и Dr.Web_Curelt также не помогли.
      CollectionLog-2025.03.24-20.56.zip
      Отчет AutoLogger
      Отчет uvs_latest
      V2-PC_2025-03-24_20-47-16_v4.99.10v x64.7z
×
×
  • Создать...