[РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen

[Red_1663]

Добрый день!

Антивирус постоянно обнаруживает MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen. Удаляютс при перезагрузке, но при новом поиске снова находит

 

Из логов

pmem:\C:\Windows\explorer.exe                                   Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen         
pmem:\C:\Users\i_sus\AppData\Roaming\Sandboxie\sandboxie.exe    Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen
pmem:\C:\Windows\System32\conhost.exe                           Вылечено        Объект вылечен  MEM:Trojan.Multi.Agent.gen

[Red_1663]

Kaspersky Virus Removal Tool не помог

Изменено 22 марта пользователем Red_1663

[safety]

Добавьте основной лог, согласно правилам

«Порядок оформления запроса о помощи».

+

отчет по обнаружениям и сканированию из антивируса Касперского

 

 

[Red_1663]

Лог KES

report.zip

 

Собрано ║AutoLogger

CollectionLog-2025.03.22-09.03.zip

[safety]

Цитата

Вчера, 21.03.2025 18:34:38    pmem:\C:\Windows\explorer.exe    Не обработано    Объект не обработан    MEM:Trojan.Win32.SEPEH.gen    Файл не найден    Файл    pmem:\C:\Windows    explorer.exe    Не обработано    Троянское приложение    Высокая    Точно    MARS\Ull    Активный пользователь
Вчера, 21.03.2025 18:34:40    pmem:\C:\Windows\System32\conhost.exe    Вылечено    Объект вылечен    MEM:Trojan.Multi.Agent.gen        Файл    pmem:\C:\Windows\System32    conhost.exe    Вылечено    Троянское приложение    Высокая    Точно    MARS\Ull    Активный пользователь
Вчера, 21.03.2025 19:10:21    System Memory    Не обработано    Объект не обработан    MEM:Trojan.Multi.Agent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    MARS\Ull    Активный пользователь

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Red_1663]

MARS_2025-03-22_09-17-21_v4.99.10v x64.7z

[safety]

Хорощо,

по образу видим, что:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\EXPLORER.EXE [12900]

(!) Процесс нагружает GPU 2: C:\WINDOWS\EXPLORER.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [12900], tid=10340

 

Отслеживание процессов и задач не включено

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)

[safety]

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
zoo %SystemDrive%\USERS\I_SUS\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE
addsgn BA6F9BB2BD5548720B9C2D754C2168FBDA75303AC179F330CD4E8998703ED7B4DCE88BDA2BE2664B2BC809D36236A13B7BDFE8BEBC2DB72D2DBB68E38F8F7E57 8 updater 7

chklst
delvir

apply

deltmp
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\SEAGATE\SEAGATE DASHBOARD 2.0\DASHBOARD.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\AMNEZIAVPN\MULLVAD-SPLIT-TUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\110.0.5481.178\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\I_SUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.2.625\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\I_SUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.2.625\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\I_SUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.2.625\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\I_SUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.2.625\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\I_SUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.2.625\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.50\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.41\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref V:\INSTALLLAUNCHER.BAT
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

[Red_1663]

MARS_2025-03-22_09-33-41_v4.99.10v x64.7z

[safety]

Хорошо, смотрите скрипт выше для очистки

[Red_1663]

Log.rar

[safety]

ок, добавьте новый образ автозапуска в uVS, отслеживание не надо включать. Оно включено уже.

[Red_1663]

 

 

MARS_2025-03-22_11-45-02_v4.99.10v x64.7z

[safety]

Выполнить очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Проверьте, что с детектом SEPEH? ушел или продолжается?

[Red_1663]

2025-03-22_12-02-32_log.txt

Проверка важных областей запущенная из KES наличие SEPEH не показывает.