Trojan.Win32.SEPEH.gen не лечится

[Kosch]

Здравствуйте!

 

Прилетели два трояна

Trojan.Win32.SEPEH.gen

Trojan.Multi.Agent.gen

 

вылечить не получается

загружался с Kaspersky Virus Removal Tool - не находит :(

 

Помогите пожалуйста!

 

KIS.txt

[safety]

Цитата

Сегодня, 24.03.2025 10:54:46    pmem:\C:\Windows\System32\conhost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Multi.Agent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\System32    conhost.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь
Сегодня, 24.03.2025 10:54:47    pmem:\C:\Windows\explorer.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл    pmem:\C:\Windows    explorer.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Добавьте, пожалуйста, основные логи по правилам:

«Порядок оформления запроса о помощи».

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено 24 марта пользователем safety

[Kosch]

HOME_2025-03-24_13-49-28_v4.99.10v x64.TXT.7z

спасибоо за участие! 

 

если нужно, могу загрузиться с WinPE

[safety]

Файл пустой получился.

Пробуйте еще раз выполнить создание образа автозапуска.

Если не получится, пробуйте сделать образ из безопасного режима системы.

Изменено 24 марта пользователем safety

[Kosch]

HOME_2025-03-24_13-49-28_v4.99.10v x64.7z

[safety]

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
delref WDE:\.DLL
delref WDE:\.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\USER
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemRoot%
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\KASPERSKY LAB\UPGRADE_LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPLOAD.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {9A9F603B-51A8-4630-AE99-4BBF01675575}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\SHELLEX.DLL
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\64\BITRIXSHELLEXT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\32\BITRIXSHELLEXT.DLL
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID]
delref %Sys32%\IGFXDTCM.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\S-1-5-21-3777694235-2332328194-282803874-1001\DATASENSELIVETILETASK
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\AUTORUN.EXE
delref {018D5C66-4533-4307-9B53-224DE2ED1FE6}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\TEAMS\UPDATE.EXE
delref {955CC7B1-B517-469D-B10B-A41B39A8225E}\[CLSID]
delref {C2A7C48D-8090-46A9-840F-BCDCF395EDB6}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\BITRIX24.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

[Kosch]

2025-03-24_15-21-28_log.txtFRST.txt

 

KSOS ругаться на вирусы перестал

но безумная активность по диску осталась 🤔

[safety]

Хорошо, файл виновник детекта SEPEH удален.

Сделайте проверку в Касперском памяти и критических областей для проверки: будет новый детект SEPEH или нет

2 минуты назад, Kosch сказал:

KSOS ругаться на вирусы перестал

но безумная активность по диску осталась 🤔

Хорошо, файл виновник детекта SEPEH удален.

Может антивирус что-то проверяет после перезагрузки? Проверьте запущены задачи сканирования в интерфейса Касперского?

[Kosch]

KSOS ругаться на вирусы перестал

но безумная активность по диску осталась 🤔

 

второй бедой был Trohan.Multi.Agent.gen

 

такое ощущение, что запещен какоое-то удалённое управление, и поведение компа похоже на работу шифровальщика

но не могу найти где 🤔

[safety]

Этот драйвер используется для обхода запретов на зарубежные сервисы. Если вы не используете эти сервисы, то можем удалить его из системы

13 минут назад, Kosch сказал:

но безумная активность по диску осталась 🤔

Покажите в диспетчере, какое из приложений активно обращается к диску.

[Kosch]

 

непонятно

ничего криминального не видно, но что-то постоянно пинает диск

 

Дискорд сам удалю. не вопрос

[safety]

Так же проверьте, какие приложения необходимо обновить.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Kosch]

вот SecurityCheck.txt

[safety]

хм,

оказывается не все еще подчистили, есть левые службы, возможно они "дергают" активность диска.

S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-16] (Microsoft Windows -> Microsoft Corporation)

---------

сейчас добавлю рекомендацию как их зачистить.

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

UsoSvc

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Хорошо, бы еще вы добавили второй файл из логов FRST --- Addition.txt, возможно что там есть инфо по нежелательной активности.

 

 

 

[Kosch]

Добавил в реестр

перезагрузил

не помогло, обращения к диску продолжаются ☹️

 

в базопасном режиме та же беда 

 

VPN - расширение в Хроме перестало подключаься к серверам

 

 

 

Addition.txt

FRST --- Addition.txt

 

пошёл за твиками...