[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen

[Kapibara]

Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

2025-04-11_16-52-36_v4.99.12v x64.7z

Изменено Пятница в 14:10 пользователем Kapibara

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Здравствуйте.

Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[Kapibara]

CollectionLog-2025.04.14-10.58.zip

Здравствуйте! Логи во вложении.

[Sandor]

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
Об этом вас Автологер и предупредил.

[Kapibara]

CollectionLog-2025.04.14-13.08.zip

[Sandor]

Цитата из лога AVZ

Цитата

AVZ is run under terminal session (RDP-Tcp#0)

 

[Kapibara]

Так это сервер, не локальный комп. По-другому не получится.

[safety]

Судя по первому образу автозапуска вы перед созданием образа выполнили два скрипта для лечения из других тем.

Сейчас детекты SEPEH продолжаются, или все закончилось 11.04.2025?

Можно так же добавить отчет о проверке обнаружений и сканированию из антивируса Касперского.

[Kapibara]

Отчет 14.04.25.txt

Детекты не прекратились. Выгрузил отчет КЕСа.

[safety]

Цитата

Сегодня, 14.04.2025 9:17:35    pmem:\C:\Windows\System32\lsass.exe    lsass.exe    pmem:\C:\Windows\System32    Файл    Не обработано    Объект не обработан    Не обработано    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно        avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0\avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0        TEST\Administrator    Активный пользователь    Файл не найден

 

Создайте новый образ автозапуска с отслеживанием процессов и задач:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено Понедельник в 12:20 пользователем safety

[Kapibara]

2025-04-14_15-30-43_v4.99.12v x64.7z

[safety]

Срабатывание антивируса на процесс LSASS.exe было при загрузке системы? Как на вашем верхнем скрине?

Изменено Понедельник в 12:49 пользователем safety

[Kapibara]

Да, сработал также после перезагрузки

[safety]

Вы нажали действие устранить?

Пробуйте переделать образ без устранения проблемы с детектом, чтобы можно было увидеть (в образе) родительский процесс, который нагружает что-то в lsass.exe

Второй раз отслеживание процессов и задач не надо включать. Оно уже включено.

После создания образа автозапуска, можно будет в антивирусе выполнить действие -устранить.

Изменено Понедельник в 12:55 пользователем safety