[РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen

[safety]

Хорошо, выложите образ, который будет получен в нужный момент.

[KitKat]

BLACKPC_2025-06-30_16-00-32_v5.0.RC2.v x64.7z  Касперский засигналил, нажала пропустить и сделала образ. 

[safety]

Можно новый отчет по угрозам от Касперского добавить в архиве без пароля?

[KitKat]

отчёт проверки 2.txt этот?

[safety]

Да, этот:

Цитата

Сегодня, 30.06.2025 15:59:40    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    BlackPC\Black    Активный пользователь

 

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DELHPDACIMKJPCCOOODOGNOPFHBDGNPBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

deltmp
delref %SystemDrive%\PROGRAM
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COREL\CORELDRAW GRAPHICS SUITE X4\SETUP\SETUP.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\RENDERWARE SDK 3.5\RENDERWARE SDK 3.5\SETUP.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\VCREDIST_X64 (1).EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\CORELDRAW_GRAPHICS_SUITE_X4\CORELDRAW GRAPHICS SUITE X4\CORELDRAWGRAPHICSSUITEX4INSTALLER_RU.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\7.0_DIRECTX7.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\WIN64_15.36.34.4889.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\DOTNETFX35.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COREL\CORELDRAW GRAPHICS SUITE X4\PROGRAMS\CORELDRW.EXE
delref %SystemDrive%\USERS\BLACK\DESKTOP\DRIVER FOR G-2 AND G-4.EXE
delref D:\VSO\PORTABLE SAI RUS\PORTABLE SAI.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY FREE 17.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY FREE 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ACTIVATION TECHNOLOGIES\VALIDATIONTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ACTIVATION TECHNOLOGIES\VALIDATIONTASKDEADLINE
delref %Sys32%\TASKS\{3E6F67D4-2F08-8295-C03A-83FDE3D85A91}
delref %Sys32%\BLANK.HTM
delref %Sys32%\SD3BLPT.SYS
delref G:\ORACLE\VIRTUALBOX\VBOXSDS.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.212\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.212\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.212\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.212\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.212\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\107.0.5304.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\BLACK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.0.2526\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BLACK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.0.2526\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BLACK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.0.2526\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BLACK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.0.2526\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BLACK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.7.0.2526\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref F:\HISUITEDOWNLOADER.EXE
delref H:\HISUITEDOWNLOADER.EXE
delref F:\SETUP.EXE
delref {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\[CLSID]
delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref G:\ORACLE\VIRTUALBOX\VIRTUALBOX.EXE
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
delref D:\BANDICAM\BDCAM_NONADMIN.EXE
delref D:\PCSX2 1.4.0\PCSX2.EXE
delref D:\PCSX2 1.4.0\UNINST-PCSX2 1.4.0.EXE
delref D:\RW\VIEWERS\VISUAL\LAUNCHER.EXE
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------

regt 35
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[KitKat]

2025-06-30_18-58-49_log.txt2025-06-30_18-59-57_log.txt В первом логе не весь скрипт скачала и активировала. Второй  уже полностью.

 Addition.txtFRST.txt  и логи FRST.

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Task: {00DCCA04-2B02-4FE3-A0B5-A024D5D497D5} - \{332DF215-809E-4169-AAA8-A0F6832295B3} -> Нет файла <==== ВНИМАНИЕ
Task: {1CD6B6F5-A334-4C25-8BB5-29714645061C} - \{B9BDE734-5EAF-47EA-B9A2-5F0E04178A4D} -> Нет файла <==== ВНИМАНИЕ
Task: {36993D27-F999-4DF2-9451-8BBA56DA4819} - \{EA279BE2-1E1B-4384-AA61-DB34D1B4A388} -> Нет файла <==== ВНИМАНИЕ
Task: {3C3DD135-A632-4957-B114-9DB9D1EED74D} - \{339BD70D-73E2-46C6-AEE8-376C5B581990} -> Нет файла <==== ВНИМАНИЕ
Task: {45AE1DA5-D198-4090-B13E-37BA891508AA} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Нет файла <==== ВНИМАНИЕ
Task: {56A20A0B-80FA-418D-8A76-1F18F2C8D0E9} - \{848D824B-54DF-4AF9-A165-FDCEC47072B0} -> Нет файла <==== ВНИМАНИЕ
Task: {63521772-B4E8-49D1-A2A7-583E70F7848A} - \{46174545-7A5A-4381-AEC9-DC55ACC365FA} -> Нет файла <==== ВНИМАНИЕ
Task: {72801C4A-DDAE-4923-AFDB-ED153CA0947C} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {96E0DCB3-A5A8-4E7A-BEEF-304C3E62D64F} - \{A21EBFBA-BEFE-44FE-AB0F-0BE156F95582} -> Нет файла <==== ВНИМАНИЕ
Task: {98031EDD-E702-4335-B59F-5AE958624832} - \HPEA3JOBS -> Нет файла <==== ВНИМАНИЕ
Task: {ACC942D5-8F0D-4CE1-B550-63E27D184D07} - \{9D0D037A-BBA7-43DE-B3CF-A0B910D19331} -> Нет файла <==== ВНИМАНИЕ
Task: {C1D70F18-7FB1-422B-97B4-801B489A66F7} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {D1C86055-D7E0-4F96-BF87-DE223F7BD946} - \{23BC0748-BC06-4AF5-9CC1-2A484A48691B} -> Нет файла <==== ВНИМАНИЕ
Task: {DAA3AD9C-1F51-4CFA-AD35-CD55B2C3FD77} - \{2238639C-DFEC-42E5-BE1E-C608B6C8A006} -> Нет файла <==== ВНИМАНИЕ
Task: {F6341015-B30A-4D9B-B6CA-6E2305890849} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Нет файла <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\TEMP:05E9FFE5 [151]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

[KitKat]

Fixlog.txt , система вроде перестала подтормаживать, удалилось пара ярлыков, как минимум с диска С гиг информации исчез. 

Изменено 30 июня пользователем KitKat

[safety]

и это сделайте:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[KitKat]

SecurityCheck.txt Готово. 

[safety]

По возможности, обновите ПО, но имеет смысл планировать переход хотя бы на W10

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19596 Внимание! Скачать обновления

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.

Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 6.1.30 v.6.1.30 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Steam v.2.10.91.91
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления
Microsoft SQL Server 2005 Compact Edition [ENU] v.3.1.0000 Данная программа больше не поддерживается разработчиком.

Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
XnView 2.51.3 v.2.51.3 Внимание! Скачать обновления

K-Lite Mega Codec Pack 16.9.5 v.16.9.5 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Yandex v.24.10.4.931 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

[KitKat]

Спасибо, но мой древний ноут с вин10 будет медленней работать, да и вин 10 в этом году тоже перестанет обслуживаться.

По возможности установлю обновления) 

[safety]

Пока на этом остановимся. Если проблема с детектом SEPEH возобновится, напишите в ЛС, я открою тему.

 

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Изменено 1 июля пользователем safety

[KitKat]

Мониторинг активности.txt  Вот

[safety]

Цитата

Сегодня, 11.07.2025 1:20:58    Запрещено    Kaspersky Internet Security    Kaspersky Internet Security    C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3        BlackPC\Black    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянская программа    Высокая    Точно    System Memory    System Memory        Файл    
Сегодня, 11.07.2025 0:50:58    Обнаружен вредоносный объект    Kaspersky Internet Security    Kaspersky Internet Security    C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3        BlackPC\Black    Активный пользователь    Обнаружено: MEM:Trojan.Win32.SEPEH.gen    Обнаружено    MEM:Trojan.Win32.SEPEH.gen    Троянская программа    Высокая    Точно    System Memory    System Memory        Файл    Базы

 

Запускаете эту программу?

C:\PROGRAM FILES\VXKEX\VXKEXLDR.EXE

Изменено Пятница в 05:35 пользователем safety