Перейти к содержанию
Правила раздела

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen

Kapibara

Автор Kapibara
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Kapibara

Kapibara

Опубликовано
Опубликовано (изменено)

Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

Снимок.PNG

2025-04-11_16-52-36_v4.99.12v x64.7z

Изменено пользователем Kapibara
Sandor

Sandor

Опубликовано
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
Об этом вас Автологер и предупредил.

Sandor

Sandor

Опубликовано
Опубликовано

Цитата из лога AVZ

Цитата

AVZ is run under terminal session (RDP-Tcp#0)

 

Kapibara

Kapibara

Опубликовано
  • Автор
Опубликовано

Так это сервер, не локальный комп. По-другому не получится.

safety

safety

Опубликовано
Опубликовано

Судя по первому образу автозапуска вы перед созданием образа выполнили два скрипта для лечения из других тем.

Сейчас детекты SEPEH продолжаются, или все закончилось 11.04.2025?

Можно так же добавить отчет о проверке обнаружений и сканированию из антивируса Касперского.

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Сегодня, 14.04.2025 9:17:35    pmem:\C:\Windows\System32\lsass.exe    lsass.exe    pmem:\C:\Windows\System32    Файл    Не обработано    Объект не обработан    Не обработано    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно        avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0\avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0        TEST\Administrator    Активный пользователь    Файл не найден

 

Создайте новый образ автозапуска с отслеживанием процессов и задач:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Срабатывание антивируса на процесс LSASS.exe было при загрузке системы? Как на вашем верхнем скрине?

Изменено пользователем safety
Kapibara

Kapibara

Опубликовано
  • Автор
Опубликовано

Да, сработал также после перезагрузки

safety

safety

Опубликовано
Опубликовано (изменено)

Вы нажали действие устранить?

Пробуйте переделать образ без устранения проблемы с детектом, чтобы можно было увидеть (в образе) родительский процесс, который нагружает что-то в lsass.exe

Второй раз отслеживание процессов и задач не надо включать. Оно уже включено.

После создания образа автозапуска, можно будет в антивирусе выполнить действие -устранить.

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...