Перейти к содержанию

Trojan.Win32.SEPEH.gen не лечится


Рекомендуемые сообщения

Здравствуйте!

 

Прилетели два трояна

Trojan.Win32.SEPEH.gen

Trojan.Multi.Agent.gen

 

вылечить не получается

загружался с Kaspersky Virus Removal Tool - не находит :(

 

Помогите пожалуйста!

 

KIS.txt

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Сегодня, 24.03.2025 10:54:46    pmem:\C:\Windows\System32\conhost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Multi.Agent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\System32    conhost.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь
Сегодня, 24.03.2025 10:54:47    pmem:\C:\Windows\explorer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Windows    explorer.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Добавьте, пожалуйста, основные логи по правилам:

«Порядок оформления запроса о помощи».

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Файл пустой получился.

Пробуйте еще раз выполнить создание образа автозапуска.

Если не получится, пробуйте сделать образ из безопасного режима системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
delref WDE:\.DLL
delref WDE:\.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\USER
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemRoot%
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\KASPERSKY LAB\UPGRADE_LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPLOAD.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {9A9F603B-51A8-4630-AE99-4BBF01675575}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\SHELLEX.DLL
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\64\BITRIXSHELLEXT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\32\BITRIXSHELLEXT.DLL
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID]
delref %Sys32%\IGFXDTCM.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\S-1-5-21-3777694235-2332328194-282803874-1001\DATASENSELIVETILETASK
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\AUTORUN.EXE
delref {018D5C66-4533-4307-9B53-224DE2ED1FE6}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\TEAMS\UPDATE.EXE
delref {955CC7B1-B517-469D-B10B-A41B39A8225E}\[CLSID]
delref {C2A7C48D-8090-46A9-840F-BCDCF395EDB6}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\BITRIX24.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, файл виновник детекта SEPEH удален.

Сделайте проверку в Касперском памяти и критических областей для проверки: будет новый детект SEPEH или нет

2 минуты назад, Kosch сказал:

KSOS ругаться на вирусы перестал

но безумная активность по диску осталась 🤔

Хорошо, файл виновник детекта SEPEH удален.

Может антивирус что-то проверяет после перезагрузки? Проверьте запущены задачи сканирования в интерфейса Касперского?

Ссылка на комментарий
Поделиться на другие сайты

KSOS ругаться на вирусы перестал

но безумная активность по диску осталась 🤔

 

второй бедой был Trohan.Multi.Agent.gen

 

такое ощущение, что запещен какоое-то удалённое управление, и поведение компа похоже на работу шифровальщика

но не могу найти где 🤔

image.thumb.png.328794fa159796fa1c67df6e8296b09c.png

Ссылка на комментарий
Поделиться на другие сайты

Этот драйвер используется для обхода запретов на зарубежные сервисы. Если вы не используете эти сервисы, то можем удалить его из системы

13 минут назад, Kosch сказал:

но безумная активность по диску осталась 🤔

Покажите в диспетчере, какое из приложений активно обращается к диску.

Ссылка на комментарий
Поделиться на другие сайты

Так же проверьте, какие приложения необходимо обновить.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

хм,

оказывается не все еще подчистили, есть левые службы, возможно они "дергают" активность диска.

S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-16] (Microsoft Windows -> Microsoft Corporation)

---------

сейчас добавлю рекомендацию как их зачистить.

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

UsoSvc

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Хорошо, бы еще вы добавили второй файл из логов FRST --- Addition.txt, возможно что там есть инфо по нежелательной активности.

 

 

 

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Добавил в реестр

перезагрузил

не помогло, обращения к диску продолжаются ☹️

 

в базопасном режиме та же беда 

 

VPN - расширение в Хроме перестало подключаься к серверам

 

 

 

Addition.txt

FRST --- Addition.txt

 

пошёл за твиками...

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Sibir72
      Автор Sibir72
      Здравствуйте!
       
      Прошу помощи с удалением троянов, обычным касперским не лечится. Пробовал лечить Kaspersky Virus Removal Tool, не помогло. 
      Судя по темам на данном форуме - проблема распространенная.
       
      Список вредителей:
      MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
       
      логи из программ прикладываю.
      KF.txtCollectionLog-2025.03.24-22.27.zipreport KVRT.txtOLDAMDPC_2025-03-24_22-34-03_v4.99.10v x64.7z
    • agrohim
      Автор agrohim
      Здравствуйте, почитал на форуме проблему с троянами
      Использовал приложение uVS
      MEDVEDSHACHTY_2025-03-27_13-31-03_v4.99.10v x64.7z
    • eosex
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • koshelev_forwor
      Автор koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • NeVoms
      Автор NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
×
×
  • Создать...