[РЕШЕНО] Удаление вируса MEM:Trojan.Win32.SEPEH.gen

[Kerzhacov]

Нашелся Касперским данный вирус: MEM:Trojan.Win32.SEPEH.gen

CollectionLog-2025.03.03-13.15.zip

[safety]

Добавьте дополнительно отчет по обнаружению угроз и сканированию из антивируса Касперского.

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Kerzhacov]

DESKTOP-LMK9QR1_2025-03-03_13-49-59_v4.99.10v x64.7zlogkas.txt

[safety]

SEPEH не увидел по отчету, но есть другое

Сегодня, 03.03.2025 12:33:18    C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe    xoscarfcysrp.exe    C:\ProgramData\vgodrqhybann    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Reflo.pef    Троянское приложение    Высокая    Эвристический анализ    Windows Media (Microsoft)    xoscarfcysrp.exe    C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe    C:\ProgramData\vgodrqhybann    1972    NT AUTHORITY\СИСТЕМА    Системный пользователь    Пропущено

 

образ сейчас проверю.

Изменено 3 марта пользователем safety

[Kerzhacov]

Я могу скинуть скриншоты, что в "Обнаруженных объектах" есть SEPEH

[safety]

Возможно там ранее датированные события с SEPEH

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\MRHES\DESKTOP\AUTO\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\MRHES\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\..\PERFORMANCE PROFILE CLIENT\AUEPDU.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\PROGRAM FILES\EA\AC\EAANTICHEAT.GAMESERVICE.EXE
delref %SystemDrive%\USERS\MRHES\DESKTOP\GOODBYEDPI-0.2.3RC3-2\X86_64\GOODBYEDPI.EXE
delref %SystemDrive%\PROGRAMDATA\FOLDER\KMSAUTO_FILES\BIN\KMSSS.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\MRHES\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.4.1169\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\MRHES\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.4.1169\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\MRHES\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.4.1169\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\MRHES\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.4.1169\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\MRHES\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.4.1169\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.91\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST

 

[Kerzhacov]

2025-03-03_14-18-59_log.txtFRST.txt

Addition.txt

Изменено 3 марта пользователем Kerzhacov

[safety]

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
Task: {19474a36-3802-431a-9512-cde927d83a7b} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {9a46ad56-d117-416b-886b-7d6fb012f09d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [576512 2025-02-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-02-12] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Добавьте новые логи FRST для контроля.

[Kerzhacov]

Fixlog.txt

 

У меня зависло на данном этапе сканирование, что делать?

[safety]

Возможно следует немного подождать.

[Kerzhacov]

Addition.txtFRST.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\ProgramData:475db97c [1230]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:475db97c [1230]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:475db97c [1230]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:475db97c [1230]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:475db97c [1230]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\mrhes\Application Data:475db97c [1230]
AlternateDataStreams: C:\Users\mrhes\Application Data:NT [40]
AlternateDataStreams: C:\Users\mrhes\AppData\Roaming:475db97c [1230]
AlternateDataStreams: C:\Users\mrhes\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\mrhes\Documents\GTA San Andreas User Files:475db97c [1230]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Добавьте новый отчет о сканировании и обнаружениях из антивируса Касперского.

[Kerzhacov]

Fixlog.txt logkasp.rar (Лог большой, пришлось запихнуть в рар, надеюсь не чего страшного)

 

До этого у меня не было WPproxy, и показывает что этим могу пользоваться мошенники, её нужно удалить?

[safety]

Возможно, что после очистки этого файла детекты SEPEH исчезли,

12:30:43    C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe    xoscarfcysrp.exe    C:\ProgramData\vgodrqhybann    Файл    Обнаружено    Обнаружен вредоносный объект    Обнаружено    HEUR:Trojan.Win64.Reflo.pef    Троянское приложение    Высокая    Эвристический анализ        avp.exe    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.20\avp.exe    C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.20        NT AUTHORITY\СИСТЕМА    Системный пользователь    Машинное обучение

 

Новых детектов SEPEH сегодня не наблюдаетс.я

 

7 минут назад, Kerzhacov сказал:

До этого у меня не было WPproxy, и показывает что этим могу пользоваться мошенники, её нужно удалить?

А где вы увидели WProxy? не вижу этот файл в образе автозапуска.

Изменено 4 марта пользователем safety

[Kerzhacov]

Спасибо большое за помощь, очень сильно помогли!)

Касперский, показал что есть какие то файлы от него, и я удалил их