Перейти к содержанию
Правила раздела

Троян - MEM:Trojan.Win32.SEPEH

Егоррр

Автор Егоррр
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Егоррр

Егоррр

Опубликовано
Опубликовано (изменено)

Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

Безымянный.png

отчет.rar

Изменено пользователем Егоррр
safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте основные логи, согласно правилам

«Порядок оформления запроса о помощи».

+

отчет по обнаружениям и сканированию из антивируса Касперского

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По отчету Касперского:

Цитата

Сегодня, 22.03.2025 0:41:12    pmem:\C:\Windows\explorer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Windows    explorer.exe    Обнаружено    Троянское приложение    Высокая    Точно    LAPTOP-DOMF0O44\Lenovo-ПК    Активный пользователь
Сегодня, 22.03.2025 0:41:12    pmem:\C:\Windows\System32\conhost.exe    Вылечено    Объект вылечен    MEM:Trojan.Multi.Agent.gen        Файл    pmem:\C:\Windows\System32    conhost.exe    Вылечено    Троянское приложение    Высокая    Точно    LAPTOP-DOMF0O44\Lenovo-ПК    Активный пользователь

 

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. 

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBESERVICE.EXE
icsuspend
;------------------------autoscript---------------------------

delref 45.94.36.133:8000
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
del %SystemDrive%\USERS\LENOVO-ПК\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SYSWOW64\HASPLMV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LENOVO\VANTAGESERVICE\4.0.49.0\SCHEDULEEVENTACTION.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LENOVO\VANTAGESERVICE\3.13.72.0\SCHEDULEEVENTACTION.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\25.031.0217.0003\ONEDRIVELAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY FREE 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OPENOFFICE 4\PROGRAM\SHLXTHDL\SHLXTHDL_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\OPENOFFICE 4\PROGRAM\SHLXTHDL\PROPERTYHDL_X64.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\7C924DD4D20055C80007791130E2D03F\KLUPD_3BC350C2A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\76.0.3809.100\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\134.0.6998.37\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\105.0.5195.127\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\105.0.5195.127\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\105.0.5195.127\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\105.0.5195.127\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\105.0.5195.127\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\97.0.1072.55\RESOURCES\EDGE_SHARE\EDGE SHARE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.48\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\LENOVO-ПК\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\PROGRAM FILES\AMPLE SOUND\ACTIVATIONMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\AMPLE SOUND\ASHOST.EXE
delref %SystemDrive%\PROGRAM FILES\AMPLE SOUND\ASHOST_X86.EXE
delref %SystemDrive%\PROGRAM FILES\AMPLE SOUND\UNINS000.EXE
REGT 39
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте основной лог, согласно правилам

«Порядок оформления запроса о помощи».

+

Добавьте логи FRST для контроля очистки.

 

Изменено пользователем safety
  • safety изменил название на Троян - MEM:Trojan.Win32.SEPEH

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sp1kon
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan MalPack.Themida
      Автор Sp1kon
      Здравствуйте, не могу удалить вирусы. Уже даже читал посты на вашем форуме, но все же не получается от них избавиться. При каждой загрузке системы запускается cmd и PowerShell
      После чего антивирус ловит данные вирусы и помещает в карантин. Скриншот приложил. 
      Скачал uvs_latest, вот "Полный образ автозапуска." прикрепил в архиве. Помогите пожалуйста...

      DESKTOP-NL0I2HI_2025-09-18_09-21-22_v5.0.1v x64.7z
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • 93872
      не могу удалить Trojan.BitCoinMiner GoogleUpdateTaskMachineQC
      Автор 93872
      Скачал давным давно какую то программу и походу словил майнер. Проверил малвейрбайтсом, закинул в карантин, а оно опять восстанавливается, и нагрузка на видеокарту идет постоянно. Еще и в регистре засело. Помогите:(

      Malwarebytes%20Scan%20Report%202025-08-11%20004030.txt
    • Dad Paul
      [РЕШЕНО] Не могу избавиться от троянов
      Автор Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
    • anonim7
      Удаление вирусов и майнеров
      Автор anonim7
      Здравствуйте, вот который день мучаюсь и не знаю что делать.
      Как вирусы пробрались на компьютер понятия не имею, использовал много программ, ни одно из них не справляется. 
      Использовал следующие: RogueKiller, Dr.Web, Hitman Pro, AVZ, Kaspersky. Все запускались отлично, но некоторые из данных программ вовсе не видят вирусы, RogueKiller в свою очередь видит их все прекрасно, но искоренить их он не может.
      Долго думал переустановить Windows в связи с тем, что на компьютере нет ни каких важных файлов и т.д. На нем находятся исключительно игры.
      Помогите пожалуйста, буду признателен.
      !!! https://imgur.com/a/N6hkK1q !!!
×
×
  • Создать...