[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen

[ysomad]

Здравствуйте, каким-то образом словил Win32.SEPEH.gen. Касперский файлы лечит, но он появляется снова и прыгает по разным файлам.
 

Спойлер

  

 

Принудительное сканирование этих файлов ничего не дает. KRD тоже ничего не нашел.
Прикрепляю логи CollectionLog-2025.01.26-21.54.zip

 

Заранее спасибо за помощь.

[safety]

Добавьте отчет из антивируса Касперского о сканировании и обнаружении угроз

 

Добавьте, дополнительно,

образ автозапуска с отслеживанием процессов и задач в uVS

 

1. Скачать архив программы можно отсюда:

2 Распакуйте данный архив с программой в отдельный каталог

3. запустите из каталога uVS файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
4. В стартовом окне программы - нажмите "запустить под текущим пользователем"

(если текущий пользователь с правами администратора).

4.1 в гласном меню программы выбрать "Дополнительно" - Твики"

      нажимаем твик 39, и перегружаем систему..

4.2 после перезагрузки системы, еще раз выполняем п. 3-4 и далее 5, 6. 7 (без 4.1)

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 27 января пользователем safety

[ysomad]

Прикрепляю 2 отчета

 

DESKTOP-99IAEFI_2025-01-27_09-09-13_v4.99.8v x64.7z

Kaspersky.txt

[safety]

Цитата

Вчера, 26.01.2025 22:22:17    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Лечение невозможно    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    InstallUtil.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь
Вчера, 26.01.2025 22:22:17    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Записано в отчет    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    InstallUtil.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь

 

Образ сейчас проверю.

 

Последние детекты все вчерашние. Сегодня детекты были?

Изменено 27 января пользователем safety

[ysomad]

11 минут назад, safety сказал:

Образ сейчас проверю.

 

Последние детекты все вчерашние. Сегодня детекты были?

Да, буквально 10 минут назад был детект

KES-27.01.txt

[safety]

да, вижу, есть

Цитата

Сегодня, 27.01.2025 9:26:14    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Записано в отчет    Файл    pmem:\C:\Windows\Microsoft.NET\Framework\v4.0.30319    AddInProcess32.exe    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-99IAEFI\Pavel    Активный пользователь

 

[safety]

Эту программу используете?

C:\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE

По текущему образу именно она является родительским процессом для AddInProcess32.exe

запуск через ключ

HKEY_USERS\S-1-5-21-2936457283-1147671101-3846342852-1001\Software\Microsoft\Windows\CurrentVersion\Run\Topazserv

cmd.exe /C start "" /D "C:\Users\Pavel\SystemRootDoc" "C:\Users\Pavel\SystemRootDoc\Topazserv.exe"

Изменено 27 января пользователем safety

[ysomad]

Это часть кряка для Topaz Video AI, сама программа работает нормально, но у меня есть большие подозрения на ее счет

[safety]

Она отработала и процесс завершился, поэтому мы не можем увидеть что она еще за собой тянула из модулей.

Но при этом процесс AddInProcess32.exe остался в памяти.

Пробуйте отключить ее временно из автозапуска. Перегрузить систему, и еще раз проверить в Касперском будут новые детекты SEPEH или нет.

 

Изменено 27 января пользователем safety

[ysomad]

Из автозапуска убрал, проверка важных областей ничего не выявила (обычно на ней был детект)

[safety]

Хорошо, можем скриптом удалить эту запись из автозапуска.

(он удалит только ссылку из реестра на запуск, сам файл не будет затронут)

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 27 января пользователем safety

[ysomad]

Готово

 

2025-01-27_10-29-49_log.txt

[safety]

Он после исключения из автозапуска и перезагрузки в список объектов автозапуска уже не попал. значит не запускался.

--------------------------------------------------------------------------------------------------
delref %SystemDrive%\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE
--------------------------------------------------------------------------------------------------
Указанный в скрипте файл не найден в списке: C:\USERS\PAVEL\SYSTEMROOTDOC\TOPAZSERV.EXE

 

Если других проблем не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[ysomad]

Прикрепляю лог

SecurityCheck.txt

 

Спойлер

Решил изучить установочный файл Topaz Video AI - оказалось, что файл TOPAZSERV.EXE вообще не относится к основной программе, а устанавливается параллельно ей. При запуске обращается к jli.dll, на что сразу реагирует KES.

 

 

Удаление всей папки, в которой находится TOPAZSERV.EXE никак не повлияло на работу самой программы. Ума не приложу как я такое смог пропустить...

 

[safety]

Можно отключить отслеживание процессов и задач. После запуска uVS так же входим в Дополнительно - Твики - и выполняем твик 40.

---------------

По возможности, обновите данное ПО:

 

Notepad++ (64-bit x64) v.8.6.4 Внимание! Скачать обновления
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.16327.20264 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
PuTTY release 0.80 (64-bit) v.0.80.0.0 Внимание! Скачать обновления

Python 3.12.3 (64-bit) v.3.12.3150.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления

WinRAR 6.22 (64-разрядная) v.6.22.0 Внимание! Скачать обновления

qBittorrent v.5.0.0 Внимание! Скачать обновления

Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления

K-Lite Mega Codec Pack 18.1.5 v.18.1.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.12.3.781 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.131.0.6778.265 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

Изменено 27 января пользователем safety