[РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen

[KitKat]

CollectionLog-2025.06.29-18.57.zip

Снова и снова возвращается вирус MEM:Trojan.Win32.SEPEH.gen . При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса. Удаляет. Некоторое время тихо, Потом опять возвращается. С середины мая воюю. Утилита доктора Вэба вообще ничего не находит. 

[thyrex]

14 минут назад, KitKat сказал:

При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса

А чему Вы удивляетесь, если сами установили VxKex API Extensions for Windows 7, чтобы запускать программы, изначально не работающие на семерке, а предназначенные для более новых систем?

[KitKat]

4 минуты назад, thyrex сказал:

А чему Вы удивляетесь, если сами установили VxKex API Extensions for Windows 7, чтобы запускать программы, изначально не работающие на семерке, а предназначенные для более новых систем?

Потому что с этими программами уже несколько лет работаю, а вирус с мая появился. 

[safety]

19 минут назад, KitKat сказал:

Потому что с этими программами уже несколько лет работаю, а вирус с мая появился. 

Добавьте, пожалуйста, журнал обнаружения угроз и сканирования из антивируса Касперского.

[KitKat]

Только что, safety сказал:

Добавьте, пожалуйста, журнал обнаружения угроз и сканирования из антивируса Касперского.

Подскажите где это найти в Kaspersky Internet Security .

[safety]

Должно быть в отчетах.

[KitKat]

отчёт проверки.txt   Этот?

[safety]

Судя по отчету, последнее обнаружение было:

Цитата

25.06.2025 14:48:09    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Win32.SEPEH.gen    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    BlackPC\Black    Активный пользователь

т.е. несколько дней назад.

Изменено 29 июня, 2025 пользователем safety

[KitKat]

Из за него стараюсь интернет не подключать лишний раз. Сигнализирует антивирус о нём только при работе в одной программе , после удаления  тишина, пока снова не начинаешь работать в этой программе. Программа с 19го года стоит, ак связан не ясно. Пыталась сканировать утилитами, или полным сканированием из касперского - не находит. 

[safety]

имхо, может быть несколько вариантов:

 

1. Написать в техническую поддержку Касперского для проверки данной программы на ложное срабатывание.

 

2. Можно провести расширенный анализ состояния системы с помощью uVS в момент работы с данной программой, т.е. чтобы был детект SEPEH со стороны антивируса.

 

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 29 июня, 2025 пользователем safety

[KitKat]

BLACKPC_2025-06-29_21-00-56_v5.0.RC2.v x64.7z вот

 

[safety]

Отслеживание процессов и задач не включено, надо переделать образ.

 

 

т.е. при загруженном uVS в главном меню - дополнительно - твики выполняем твик 39

перегружаем систему,

после загрузки рабочего стола, еще раз запускаем uVS и как обычно делаем образ автозапуска.

Это будет образ автозапуска, с учетом отслеживания процессов и задач.

 

пока что видим отладчик, что вообщем есть и в AVZ:

(!) Найдено значение Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SonicFrontiers.exe\Debugger: "C:\Program Files\VxKex\VxKexLdr.exe"

 

 

 

 

Изменено 29 июня, 2025 пользователем safety

[KitKat]

BLACKPC_2025-06-29_23-21-32_v5.0.RC2.v x64.7z Теперь вроде все пункты. 

[safety]

Очистку выполнили в Касперском перед созданием образа автозапуска?

Желательно, чтобы действий никаких не выполнялось при обнаружении с данным детектом, иначе мы не сможем отследить цепочку запуска. Как только будет детект - в антивирусе не надо ничего очищать, просто сделать образ автозапуска. Потом можно очистить обнаруженную угрозу.

[KitKat]

Хорошо, буду караулить.