Trojan.Win32.SEPEH.gen не лечится

[safety]

Это "лекарство" принимать после исправления служб загруженными твиками и перезагрузкой системы.

 

Start::
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-16] (Microsoft Windows -> Microsoft Corporation)
S3 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-02-15] (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{71719098-84DE-47F1-A80A-B0CF763FF6E8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{C4BEAD74-8B60-4C72-8C67-417D816CB3A5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{0E61C71C-7A3E-452B-A777-880622BFAEDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{19161764-9A20-4318-BCD9-4E8B4505B3A3}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{57D57008-8F66-4E16-AC0B-FC0FC3D79F7F}] => (Allow) D:\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{070EF231-242F-425E-A428-8FD07C68EF3A}] => (Allow) D:\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{62CD87DA-C0F9-42E8-86F2-638005E28D2D}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\airhost.exe => Нет файла
FirewallRules: [{BB2D583D-0C99-49C2-92B3-C3AE316F7DE3}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\airhost.exe => Нет файла
FirewallRules: [{841C7CB7-F38D-49DC-BC95-9CD0731283FF}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\Zoom.exe => Нет файла
FirewallRules: [{570A8039-BD08-48CE-A996-6EE50EF5E1AF}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{F1B708A4-5321-4369-AA09-67D61FEE30E2}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{CACD399B-F4D1-4599-BE39-CF4C77BBD973}] => (Allow) D:\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{BA101468-2048-404E-BF31-9430C14D158A}] => (Allow) D:\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{B62C5782-D0A4-4F3D-B2D2-891B1711B186}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{CB9374EA-92B6-4332-B600-B7F3B4CF9A02}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{FCC970A0-488E-4A78-991A-48209CEDDD84}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{1F05EB19-D9A5-4491-A7A4-E2D3E8BBC014}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
Reboot::
End::

 

 

Что еще можно сделать:

 

chkdsk по системному диску,

sfc /scannow

Изменено 25 марта пользователем safety

[Kosch]

Судя по профильным форумам, по зловреду Trojan.Win32.SEPEH.gen очень много обращений, что он не лечится антивирусами.

Детектируется, но не удаляется. По какой, интересно, причине? И когда ожидается исправление от разработчиков Касперского?

 

Постоянное обращение к диску осталось.

причём такое ощущение, что это сам антивирус генерит постоянные запросы к С:

Где ещё посмотреть, что это может быть?

 

 

Выгрузил Антивирус и Хром

на некоторое время затихло, через несколько минут опять появилось постоянное обращение к диску

 

Изменено 25 марта пользователем Kosch

[safety]

 

Цитата

 

Что еще можно сделать:

chkdsk по системному диску,

sfc /scannow

 

Это сделали?

 

Цитата

 

Судя по профильным форумам, по зловреду Trojan.Win32.SEPEH.gen очень много обращений, что он не лечится антивирусами.

Детектируется, но не удаляется. По какой, интересно, причине? И когда ожидается исправление от разработчиков Касперского?

 

Имхо, массовость здесь связана с тем, что пользователи стали массово использовать системы обхода блокировок, и этим пользуются злоумышленники, внедряя в установщики свои майнеры.

Детект SEPEH здесь есть, но по самой верхушке, т.е. по внедряемому в память системного процесса коду,

а вот цепочку запуска этого кода приходится раскручивать вручную, и один из основных модулей updater.exe не детектируется.

Скорее всего, этот модуль быстро обновляется, и детект не успевает за его обновлением.

 

[Kosch]

sfc /scannow

 

да, конечно!

 

О!

 

Пропустил

Это "лекарство" принимать после исправления служб загруженными твиками и перезагрузкой системы.

 

в какой среде выполнять этот скрипт?

[Sandor]

Отключите до перезагрузки антивирус.

• Выделите указанный выше код.
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Kosch]

Всё сделал

лог приложил

 

Fixlog.txt

Изменено 25 марта пользователем Kosch

[safety]

По возможности, обновите данное ПО:

 

AMD Software v.24.9.1 Внимание! Скачать обновления
CrystalDiskInfo 8.13.3 v.8.13.3 Внимание! Скачать обновления
TeamViewer v.15.35.9 Внимание! Скачать обновления
AnyDesk v.ad 6.0.8 Внимание! Скачать обновления

Microsoft Office профессиональный плюс 2013 v.15.0.4420.1017 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2013 v.15.0.4420.1017 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

IrfanView 4.54 (64-bit) v.4.54 Внимание! Скачать обновления

OpenVPN 2.4.8-I602-Win10  v.2.4.8-I602-Win10 Внимание! Скачать обновления

VLC media player v.3.0.20 Внимание! Скачать обновления
iTunes v.12.13.6.1
K-Lite Codec Pack 17.8.0 Standard v.17.8.0 Внимание! Скачать обновления

Google Chrome v.134.0.6998.118 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Mozilla Thunderbird (x64 ru) v.128.4.3 Внимание! Скачать обновления

 

 

 

[Kosch]

из всего вышеперечисленного загружены постоянно  

Google Chrome, обновлён, не помогло

OpenVPN выгружен, не помогло

 

придётся видимо переустанавливать ОС 😪

обидно, 7 лет живёт:

Пережила 3 апгрэйда проц/мать

переезд с Интела на АМД, причём на NVMe SSD и чипсетный RAID

 

может где ещё посмотреть, какой процесс может постоянно обращаться к С: ?

 

всё повыгружал

[Sandor]

В безопасном режиме эта же проблема с диском тоже наблюдается?

[safety]

Такой скрипт пробуйте выполнить в UVS, который отключает отслеживание процессов и задач.

 

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
restart

 

После перезагрузки проверьте, есть ли изменения по активности с диском.

[Kosch]

Да, в безопасном режиме присутствует интенсивное обращение к диску

 

Скрипт выполнил, активность осталась.

 

Ещё загрузился с РЕ образа, потёр все найденные ТМР файлы и папки

Прогнал KRT, ничего не нашёл 😔

[safety]

По данной проблеме стоит лучше обратиться в раздел Компьютерной помощи.

С детектированием SEPEH это никак не связано.

[Kosch]

Хорошо

 

Спасибо Вам!