Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Trojan.Win32.SEPEH.gen не лечится

Kosch

Автор Kosch
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Это "лекарство" принимать после исправления служб загруженными твиками и перезагрузкой системы.


  

Start::
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-16] (Microsoft Windows -> Microsoft Corporation)
S3 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-02-15] (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{71719098-84DE-47F1-A80A-B0CF763FF6E8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{C4BEAD74-8B60-4C72-8C67-417D816CB3A5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{0E61C71C-7A3E-452B-A777-880622BFAEDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{19161764-9A20-4318-BCD9-4E8B4505B3A3}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{57D57008-8F66-4E16-AC0B-FC0FC3D79F7F}] => (Allow) D:\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{070EF231-242F-425E-A428-8FD07C68EF3A}] => (Allow) D:\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{62CD87DA-C0F9-42E8-86F2-638005E28D2D}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\airhost.exe => Нет файла
FirewallRules: [{BB2D583D-0C99-49C2-92B3-C3AE316F7DE3}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\airhost.exe => Нет файла
FirewallRules: [{841C7CB7-F38D-49DC-BC95-9CD0731283FF}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin_00\Zoom.exe => Нет файла
FirewallRules: [{570A8039-BD08-48CE-A996-6EE50EF5E1AF}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{F1B708A4-5321-4369-AA09-67D61FEE30E2}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{CACD399B-F4D1-4599-BE39-CF4C77BBD973}] => (Allow) D:\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{BA101468-2048-404E-BF31-9430C14D158A}] => (Allow) D:\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{B62C5782-D0A4-4F3D-B2D2-891B1711B186}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{CB9374EA-92B6-4332-B600-B7F3B4CF9A02}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{FCC970A0-488E-4A78-991A-48209CEDDD84}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{1F05EB19-D9A5-4491-A7A4-E2D3E8BBC014}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
Reboot::
End::

 

 

Что еще можно сделать:

 

chkdsk по системному диску,

sfc /scannow

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Kosch Постоялец

Kosch

Опубликовано
  • Автор
Опубликовано (изменено)

Судя по профильным форумам, по зловреду Trojan.Win32.SEPEH.gen очень много обращений, что он не лечится антивирусами.

Детектируется, но не удаляется. По какой, интересно, причине? И когда ожидается исправление от разработчиков Касперского?

 

Постоянное обращение к диску осталось.

причём такое ощущение, что это сам антивирус генерит постоянные запросы к С:

Где ещё посмотреть, что это может быть?

 

image.thumb.png.0c12362cf8c643a9f1411399541c2499.png

 

Выгрузил Антивирус и Хром

на некоторое время затихло, через несколько минут опять появилось постоянное обращение к диску

 

image.thumb.png.c458310c709f3a1e02dba450e34454e8.png

Изменено пользователем Kosch
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

 

  Цитата

 

Что еще можно сделать:

chkdsk по системному диску,

sfc /scannow

 

Показать  

Это сделали?


 

  Цитата

 

Судя по профильным форумам, по зловреду Trojan.Win32.SEPEH.gen очень много обращений, что он не лечится антивирусами.

Детектируется, но не удаляется. По какой, интересно, причине? И когда ожидается исправление от разработчиков Касперского?

 

Показать  

Имхо, массовость здесь связана с тем, что пользователи стали массово использовать системы обхода блокировок, и этим пользуются злоумышленники, внедряя в установщики свои майнеры.

Детект SEPEH здесь есть, но по самой верхушке, т.е. по внедряемому в память системного процесса коду,

а вот цепочку запуска этого кода приходится раскручивать вручную, и один из основных модулей updater.exe не детектируется.

Скорее всего, этот модуль быстро обновляется, и детект не успевает за его обновлением.

 

Ссылка на комментарий
Поделиться на другие сайты
Kosch Постоялец

Kosch

Опубликовано
  • Автор
Опубликовано

sfc /scannow

 

да, конечно!

 

О!

 

Пропустил

Это "лекарство" принимать после исправления служб загруженными твиками и перезагрузкой системы.

 

в какой среде выполнять этот скрипт?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отключите до перезагрузки антивирус.

  • Выделите указанный выше код.
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

AMD Software v.24.9.1 Внимание! Скачать обновления
CrystalDiskInfo 8.13.3 v.8.13.3 Внимание! Скачать обновления
TeamViewer v.15.35.9 Внимание! Скачать обновления
AnyDesk v.ad 6.0.8 Внимание! Скачать обновления

Microsoft Office профессиональный плюс 2013 v.15.0.4420.1017 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2013 v.15.0.4420.1017 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

IrfanView 4.54 (64-bit) v.4.54 Внимание! Скачать обновления

OpenVPN 2.4.8-I602-Win10  v.2.4.8-I602-Win10 Внимание! Скачать обновления

VLC media player v.3.0.20 Внимание! Скачать обновления
iTunes v.12.13.6.1
K-Lite Codec Pack 17.8.0 Standard v.17.8.0 Внимание! Скачать обновления

Google Chrome v.134.0.6998.118 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Mozilla Thunderbird (x64 ru) v.128.4.3 Внимание! Скачать обновления

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Kosch Постоялец

Kosch

Опубликовано
  • Автор
Опубликовано

из всего вышеперечисленного загружены постоянно  

Google Chrome, обновлён, не помогло

OpenVPN выгружен, не помогло

 

придётся видимо переустанавливать ОС 😪

обидно, 7 лет живёт:

Пережила 3 апгрэйда проц/мать

переезд с Интела на АМД, причём на NVMe SSD и чипсетный RAID

 

может где ещё посмотреть, какой процесс может постоянно обращаться к С: ?

 

всё повыгружал

image.thumb.png.8277e1b6eedb4e333aaf9beb4220b288.png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Такой скрипт пробуйте выполнить в UVS, который отключает отслеживание процессов и задач.

  

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
restart

 

После перезагрузки проверьте, есть ли изменения по активности с диском.

Ссылка на комментарий
Поделиться на другие сайты
Kosch Постоялец

Kosch

Опубликовано
  • Автор
Опубликовано

Да, в безопасном режиме присутствует интенсивное обращение к диску

 

Скрипт выполнил, активность осталась.

 

Ещё загрузился с РЕ образа, потёр все найденные ТМР файлы и папки

Прогнал KRT, ничего не нашёл 😔

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sibir72
      [РЕШЕНО] Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen
      Автор Sibir72
      Здравствуйте!
       
      Прошу помощи с удалением троянов, обычным касперским не лечится. Пробовал лечить Kaspersky Virus Removal Tool, не помогло. 
      Судя по темам на данном форуме - проблема распространенная.
       
      Список вредителей:
      MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
       
      логи из программ прикладываю.
      KF.txtCollectionLog-2025.03.24-22.27.zipreport KVRT.txtOLDAMDPC_2025-03-24_22-34-03_v4.99.10v x64.7z
    • agrohim
      [РЕШЕНО] Trojan.Win32.SEPEH.gen и Trojan.Multi.Agent.gen в explorer и conhost
      Автор agrohim
      Здравствуйте, почитал на форуме проблему с троянами
      Использовал приложение uVS
      MEDVEDSHACHTY_2025-03-27_13-31-03_v4.99.10v x64.7z
    • Kapibara
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • NeVoms
      Trojan.Win32.SEPEH
      Автор NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
×
×
  • Создать...