Kosch Опубликовано 24 марта Share Опубликовано 24 марта Здравствуйте! Прилетели два трояна Trojan.Win32.SEPEH.gen Trojan.Multi.Agent.gen вылечить не получается загружался с Kaspersky Virus Removal Tool - не находит :( Помогите пожалуйста! KIS.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта (изменено) Цитата Сегодня, 24.03.2025 10:54:46 pmem:\C:\Windows\System32\conhost.exe Обнаружено Обнаружен вредоносный объект MEM:Trojan.Multi.Agent.gen Экспертный анализ Файл pmem:\C:\Windows\System32 conhost.exe Обнаружено Троянское приложение Высокая Точно NT AUTHORITY\СИСТЕМА Системный пользователь Сегодня, 24.03.2025 10:54:47 pmem:\C:\Windows\explorer.exe Обнаружено Обнаружен вредоносный объект MEM:Trojan.Win32.SEPEH.gen Экспертный анализ Файл pmem:\C:\Windows explorer.exe Обнаружено Троянское приложение Высокая Точно NT AUTHORITY\СИСТЕМА Системный пользователь Добавьте, пожалуйста, основные логи по правилам: «Порядок оформления запроса о помощи». + Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1) 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z) 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Изменено 24 марта пользователем safety 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта HOME_2025-03-24_13-49-28_v4.99.10v x64.TXT.7z спасибоо за участие! если нужно, могу загрузиться с WinPE Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта (изменено) Файл пустой получился. Пробуйте еще раз выполнить создание образа автозапуска. Если не получится, пробуйте сделать образ из безопасного режима системы. Изменено 24 марта пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта HOME_2025-03-24_13-49-28_v4.99.10v x64.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта По очистке системы: По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. ;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE delref WDE:\.DLL delref WDE:\.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\USERS\USER delref %Sys32%\CONFIG\SYSTEMPROFILE delref %SystemRoot% delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 ; Bonjour exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet deltmp delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\KASPERSKY LAB\UPGRADE_LAUNCHER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPDATE.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOTOMEETING\19950\G2MUPLOAD.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {9A9F603B-51A8-4630-AE99-4BBF01675575}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 20.0\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.15\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.16\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SMALL OFFICE SECURITY 21.17\SHELLEX.DLL delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\64\BITRIXSHELLEXT.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\32\BITRIXSHELLEXT.DLL delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID] delref %Sys32%\IGFXDTCM.DLL delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\TASKS\S-1-5-21-3777694235-2332328194-282803874-1001\DATASENSELIVETILETASK delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\EWUSBNET.SYS delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.52\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref E:\AUTORUN.EXE delref {018D5C66-4533-4307-9B53-224DE2ED1FE6}\[CLSID] delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\TEAMS\UPDATE.EXE delref {955CC7B1-B517-469D-B10B-A41B39A8225E}\[CLSID] delref {C2A7C48D-8090-46A9-840F-BCDCF395EDB6}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\BITRIX24\BITRIX24.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + Добавьте логи FRST для контроля очистки. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта 2025-03-24_15-21-28_log.txtFRST.txt KSOS ругаться на вирусы перестал но безумная активность по диску осталась 🤔 Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта Хорошо, файл виновник детекта SEPEH удален. Сделайте проверку в Касперском памяти и критических областей для проверки: будет новый детект SEPEH или нет 2 минуты назад, Kosch сказал: KSOS ругаться на вирусы перестал но безумная активность по диску осталась 🤔 Хорошо, файл виновник детекта SEPEH удален. Может антивирус что-то проверяет после перезагрузки? Проверьте запущены задачи сканирования в интерфейса Касперского? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта KSOS ругаться на вирусы перестал но безумная активность по диску осталась 🤔 второй бедой был Trohan.Multi.Agent.gen такое ощущение, что запещен какоое-то удалённое управление, и поведение компа похоже на работу шифровальщика но не могу найти где 🤔 Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта Этот драйвер используется для обхода запретов на зарубежные сервисы. Если вы не используете эти сервисы, то можем удалить его из системы 13 минут назад, Kosch сказал: но безумная активность по диску осталась 🤔 Покажите в диспетчере, какое из приложений активно обращается к диску. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта непонятно ничего криминального не видно, но что-то постоянно пинает диск Дискорд сам удалю. не вопрос Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта Так же проверьте, какие приложения необходимо обновить. Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта вот SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 24 марта Share Опубликовано 24 марта хм, оказывается не все еще подчистили, есть левые службы, возможно они "дергают" активность диска. S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-16] (Microsoft Windows -> Microsoft Corporation) --------- сейчас добавлю рекомендацию как их зачистить. скачайте с данной страницы https://download.bleepingcomputer.com/win-services/windows-10-22H2/ следу.ющие твики для исправления поврежденных служб: BITS UsoSvc Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему, Хорошо, бы еще вы добавили второй файл из логов FRST --- Addition.txt, возможно что там есть инфо по нежелательной активности. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kosch Опубликовано 24 марта Автор Share Опубликовано 24 марта Добавил в реестр перезагрузил не помогло, обращения к диску продолжаются ☹️ в базопасном режиме та же беда VPN - расширение в Хроме перестало подключаься к серверам Addition.txt FRST --- Addition.txt пошёл за твиками... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения