Перейти к содержанию
Правила раздела

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen не удаляется

Шавкат Аблазов

Автор Шавкат Аблазов
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Шавкат Аблазов

Шавкат Аблазов

Опубликовано
Опубликовано

Уже несколько месяцев,раз,а то и несколько раз в неделю касперский находит данный троян MEM:Trojan.Win32.SEPEH.gen,после каждого лечения через некоторое время  снова возникает он при проверке,т.е никак не удаляется,прошу помочь

CollectionLog-2025.05.23-23.11.zip

safety

safety

Опубликовано
Опубликовано

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

safety

safety

Опубликовано
Опубликовано

Отслеживание не включено.

 

image.png

 

Если вас запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

 

Нужен образ автозапуска с отслеживанием.

Так же добавьте отчет из Касперского по обнаружению угроз и сканированию. В архиве без пароля.

safety

safety

Опубликовано
Опубликовано
Цитата

Вчера, 23.05.2025 22:45:04    System Memory    Не обработано    Объект не обработан    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    CYBERJ\ablaz    Активный пользователь
Вчера, 23.05.2025 22:45:03    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    CYBERJ\ablaz    Активный пользователь

 

Так понимаю, сегодня при последней перезагрузке системы срабатывания антивируса с детектом SEPEH еще не было?

 

Образ сейчас проверю.

Шавкат Аблазов

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

 

Так понимаю, сегодня при последней перезагрузке системы срабатывания антивируса с детектом SEPEH еще не было?

 

Образ сейчас проверю.

да все верно, в данный момент проверку выполняю, но обычно он раз в неделю или пару раз в неделю находит его

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

----------------

По проблеме с детектом SEPEH, Пока следов в системе нет.

Сделайте образ автозапуска в том момент, когда при сканировании будет обнаружен SEPEH, очистку при детектировании не делайте, необходимо определить источник, который создает данную угрозу.

После создания образа автозапуска можно будет сделать очистку.

Отслеживание  процессов и задач с твиком 39 не надо будет повторно включать. Оно уже включено.

Изменено пользователем safety
Шавкат Аблазов

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
6 минут назад, safety сказал:

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ABLAZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.699\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

----------------

По проблеме с детектом SEPEH, Пока следов в системе нет.

Сделайте образ автозапуска в том момент, когда при сканировании будет обнаружен SEPEH, очистку при детектировании не делайте, необходимо определить источник, который создает данную угрозу.

После создания образа автозапуска можно будет сделать очистку.

Отслеживание  процессов и задач с твиком 39 не надо будет повторно включать. Оно уже включено.

При последней полной проверке угроз не обнаружено 
вот файл из папки

2025-05-24_16-29-10_log.txt

и подскажите как сделать так, что бы касперский не стал автоматически лечить данный вирус, что бы успеть создать образ автозапуска

safety

safety

Опубликовано
Опубликовано

Хорошо, теперь образ автозапуска нужен будет если при проверке в антивирусе Касперского будет обнаружен SEPEH.

 

Пока добавьте логи FRST для контроля.

 

Шавкат Аблазов

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
15 минут назад, Шавкат Аблазов сказал:

При последней полной проверке угроз не обнаружено 
вот файл из папки

2025-05-24_16-29-10_log.txt 39.76 kB · 1 загрузка

и подскажите как сделать так, что бы касперский не стал автоматически лечить данный вирус, что бы успеть создать образ автозапуска

с автоматическим лечением разобрался

 

FRST.txt Addition.txt

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Хорошо, это еще сделайте:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Шавкат Аблазов

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Хорошо, это еще сделайте:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано

обновите данное ПО:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления

Discord v.1.0.9188 Внимание! Скачать обновления

----------------

Тему не закрываю, как только будет новый детект, делаем образ автозапуска как описано выше.

Если в течение недели не будет детект, напишите об этом здесь.

Шавкат Аблазов

Шавкат Аблазов

Опубликовано
  • Автор
Опубликовано
11 минут назад, safety сказал:

обновите данное ПО:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления

Discord v.1.0.9188 Внимание! Скачать обновления

----------------

Тему не закрываю, как только будет новый детект, делаем образ автозапуска как описано выше.

Если в течение недели не будет детект, напишите об этом здесь.

хорошо спасибо!

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ton
      Зашифровали файлы
      Автор Ton
      Вот такие файлы имеются 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Марк Громов
      Проблема с вирусом или трояном.
      Автор Марк Громов
      Здравствуйте, возникла проблема. При запуске ПК программа "Безопасность Windows" предупреждает об опасности и помещении угрозы в карантин.
       
      Обнаружено:
      Adware:Win32/BrowserAssistant
       
      Затронутый элемент:
      file: C:\Users\User\AppData\Local\Temp\nsw9C71.tmp\7z-out\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
×
×
  • Создать...