Перейти к содержанию
Правила раздела

MEM:Trojan.Win32.SEPEH.gen не удаляется

Шавкат Аблазов

Автор Шавкат Аблазов
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
Опубликовано

Уже несколько месяцев,раз,а то и несколько раз в неделю касперский находит данный троян MEM:Trojan.Win32.SEPEH.gen,после каждого лечения через некоторое время  снова возникает он при проверке,т.е никак не удаляется,прошу помочь

CollectionLog-2025.05.23-23.11.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Отслеживание не включено.

 

image.png

 

Если вас запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

 

Нужен образ автозапуска с отслеживанием.

Так же добавьте отчет из Касперского по обнаружению угроз и сканированию. В архиве без пароля.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
Цитата

Вчера, 23.05.2025 22:45:04    System Memory    Не обработано    Объект не обработан    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    CYBERJ\ablaz    Активный пользователь
Вчера, 23.05.2025 22:45:03    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    CYBERJ\ablaz    Активный пользователь

 

Так понимаю, сегодня при последней перезагрузке системы срабатывания антивируса с детектом SEPEH еще не было?

 

Образ сейчас проверю.

Ссылка на комментарий
Поделиться на другие сайты
Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

 

Так понимаю, сегодня при последней перезагрузке системы срабатывания антивируса с детектом SEPEH еще не было?

 

Образ сейчас проверю.

да все верно, в данный момент проверку выполняю, но обычно он раз в неделю или пару раз в неделю находит его

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

----------------

По проблеме с детектом SEPEH, Пока следов в системе нет.

Сделайте образ автозапуска в том момент, когда при сканировании будет обнаружен SEPEH, очистку при детектировании не делайте, необходимо определить источник, который создает данную угрозу.

После создания образа автозапуска можно будет сделать очистку.

Отслеживание  процессов и задач с твиком 39 не надо будет повторно включать. Оно уже включено.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

----------------

По проблеме с детектом SEPEH, Пока следов в системе нет.

Сделайте образ автозапуска в том момент, когда при сканировании будет обнаружен SEPEH, очистку при детектировании не делайте, необходимо определить источник, который создает данную угрозу.

После создания образа автозапуска можно будет сделать очистку.

Отслеживание  процессов и задач с твиком 39 не надо будет повторно включать. Оно уже включено.

При последней полной проверке угроз не обнаружено 
вот файл из папки

2025-05-24_16-29-10_log.txt

и подскажите как сделать так, что бы касперский не стал автоматически лечить данный вирус, что бы успеть создать образ автозапуска

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Хорошо, теперь образ автозапуска нужен будет если при проверке в антивирусе Касперского будет обнаружен SEPEH.

 

Пока добавьте логи FRST для контроля.

 

Ссылка на комментарий
Поделиться на другие сайты
Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
15 минут назад, Шавкат Аблазов сказал:

При последней полной проверке угроз не обнаружено 
вот файл из папки

2025-05-24_16-29-10_log.txt 39.76 kB · 1 загрузка

и подскажите как сделать так, что бы касперский не стал автоматически лечить данный вирус, что бы успеть создать образ автозапуска

с автоматическим лечением разобрался

 

FRST.txt Addition.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Хорошо, это еще сделайте:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Хорошо, это еще сделайте:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

обновите данное ПО:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления

Discord v.1.0.9188 Внимание! Скачать обновления

----------------

Тему не закрываю, как только будет новый детект, делаем образ автозапуска как описано выше.

Если в течение недели не будет детект, напишите об этом здесь.

Ссылка на комментарий
Поделиться на другие сайты
Шавкат Аблазов Новичок

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
11 минут назад, safety сказал:

обновите данное ПО:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления

Discord v.1.0.9188 Внимание! Скачать обновления

----------------

Тему не закрываю, как только будет новый детект, делаем образ автозапуска как описано выше.

Если в течение недели не будет детект, напишите об этом здесь.

хорошо спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kapibara
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • badmemory
      [РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen
      Автор badmemory
      Обнаружил у себя 2 файла этого вируса, устранить не получается
       
    • Red_1663
      [РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
      Автор Red_1663
      Добрый день!
      Антивирус постоянно обнаруживает MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen. Удаляютс при перезагрузке, но при новом поиске снова находит
       
      Из логов
      pmem:\C:\Windows\explorer.exe                                   Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen         
      pmem:\C:\Users\i_sus\AppData\Roaming\Sandboxie\sandboxie.exe    Вылечено        Объект вылечен  MEM:Trojan.Win32.SEPEH.gen
      pmem:\C:\Windows\System32\conhost.exe                           Вылечено        Объект вылечен  MEM:Trojan.Multi.Agent.gen
×
×
  • Создать...