[РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
C:\Users\Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckadjoecagcfdeafdmbbkflpifilmhme
C:\Users\Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj
FirewallRules: [{34C40033-8CFA-4060-AF92-D055811F3639}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{122AD693-EC78-46BE-97BE-422DDE13B2E5}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [UDP Query User{346E8C4C-1F94-4A40-88AE-8848FAD3D2F0}D:\gamesmailru\revelation\game\tianyu.exe] => (Allow) D:\gamesmailru\revelation\game\tianyu.exe => Нет файла
FirewallRules: [TCP Query User{1336EBE0-B858-454A-BD69-2FC0A9AE146B}D:\gamesmailru\revelation\game\tianyu.exe] => (Allow) D:\gamesmailru\revelation\game\tianyu.exe => Нет файла
FirewallRules: [UDP Query User{1B7268CA-BF3F-46CE-B542-0739C2174B76}D:\gamesmailru\revelation\game\tianyu.exe] => (Allow) D:\gamesmailru\revelation\game\tianyu.exe => Нет файла
FirewallRules: [TCP Query User{2068AC77-0BFE-4C05-8055-6378F3B42E0E}D:\gamesmailru\revelation\game\tianyu.exe] => (Allow) D:\gamesmailru\revelation\game\tianyu.exe => Нет файла
FirewallRules: [{85B1BDDF-CC3E-4B0D-A32C-02BE6C65525D}] => (Allow) D:\Games\STEAM\steamapps\common\Dishonored\Binaries\Win32\Dishonored.exe => Нет файла
FirewallRules: [{8098B3D8-8322-4270-B059-B36BEB4C9066}] => (Allow) D:\Games\STEAM\steamapps\common\Dishonored\Binaries\Win32\Dishonored.exe => Нет файла
FirewallRules: [UDP Query User{3225691A-0D48-439A-A5A6-9A2666A23D44}C:\users\black\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\black\appdata\local\akamai\netsession_win.exe => Нет файла
FirewallRules: [TCP Query User{DA69DB9E-29CF-45EA-957A-4806B3D9451D}C:\users\black\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\black\appdata\local\akamai\netsession_win.exe => Нет файла
FirewallRules: [UDP Query User{A7866F64-A4A0-4704-A24D-18847AC5059D}D:\games\steam\steamapps\common\lord of the rings online\lotroclient.exe] => (Allow) D:\games\steam\steamapps\common\lord of the rings online\lotroclient.exe => Нет файла
FirewallRules: [TCP Query User{B1838954-CC44-4040-9F60-93BC30F876B0}D:\games\steam\steamapps\common\lord of the rings online\lotroclient.exe] => (Allow) D:\games\steam\steamapps\common\lord of the rings online\lotroclient.exe => Нет файла
FirewallRules: [UDP Query User{D86182EA-A5D4-43B0-8C42-EF89F45C7466}C:\users\black\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\black\appdata\local\akamai\netsession_win.exe => Нет файла
FirewallRules: [TCP Query User{4C458F63-FA75-4CF4-83CF-910F19DC1F83}C:\users\black\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\black\appdata\local\akamai\netsession_win.exe => Нет файла
FirewallRules: [{092EE93B-26C4-48D6-8010-B7B09C790FCE}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe => Нет файла
FirewallRules: [{DFE6651D-E8D1-4425-921A-C4425B04E162}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe => Нет файла
FirewallRules: [{B92FFDB1-50B8-4E26-B6C6-141D1BE99B0B}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe => Нет файла
FirewallRules: [{89449157-3363-473C-A9B9-088F64A341DA}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Нет файла
FirewallRules: [{2266E35F-2B71-40BB-96F4-58CF6F06780F}] => (Allow) C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe => Нет файла
FirewallRules: [{9BE04F06-33AA-41E7-8388-3CE64D4D8753}] => (Allow) D:\Games\STEAM\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{B9277620-195F-4787-90C9-712C67633C1A}] => (Allow) D:\Games\STEAM\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{38B5102B-2E0F-4B81-B66F-8C96674C8F01}] => (Allow) D:\Games\STEAM\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{DBBA5DCE-17E0-4B0C-91A1-2AB2270F9515}] => (Allow) D:\Games\STEAM\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [TCP Query User{998974A0-F452-461D-BD26-CE262F334D6C}C:\windows\temp\7zs2144\enterprisedu.exe] => (Allow) C:\windows\temp\7zs2144\enterprisedu.exe => Нет файла
FirewallRules: [UDP Query User{EB70C541-8DF3-42D9-9BF1-3E02CB357B3B}C:\windows\temp\7zs2144\enterprisedu.exe] => (Allow) C:\windows\temp\7zs2144\enterprisedu.exe => Нет файла
FirewallRules: [TCP Query User{EB27BA8A-59EF-4538-A515-914CCDF19DFC}C:\windows\temp\7zs29af\enterprisedu.exe] => (Allow) C:\windows\temp\7zs29af\enterprisedu.exe => Нет файла
FirewallRules: [UDP Query User{3D07EC67-E738-4DC3-9924-2D7F7616DCA8}C:\windows\temp\7zs29af\enterprisedu.exe] => (Allow) C:\windows\temp\7zs29af\enterprisedu.exe => Нет файла
FirewallRules: [{43A1DA02-26F6-4A38-AE49-F0D59CF8541F}] => (Allow) C:\Program Files (x86)\Samsung\AllShare\AllShareDMS\AllShareDMS.exe => Нет файла
FirewallRules: [{8508A2D5-3D1A-49E1-9B7C-E098BC8B2802}] => (Allow) C:\Program Files (x86)\Samsung\AllShare\AllShare.exe => Нет файла
FirewallRules: [{BABB42FB-B4AB-4929-8DD3-9394C3104A7D}] => (Allow) C:\Program Files (x86)\Samsung\AllShare\AllShareAgent.exe => Нет файла
FirewallRules: [TCP Query User{06FD0C2E-9513-4569-BD79-5DBA82B8D047}D:\ultimaker cura 4.5\cura.exe] => (Block) D:\ultimaker cura 4.5\cura.exe => Нет файла
FirewallRules: [UDP Query User{93A68DD2-3241-4ED9-9106-DBAE5C80DFF5}D:\ultimaker cura 4.5\cura.exe] => (Block) D:\ultimaker cura 4.5\cura.exe => Нет файла
FirewallRules: [TCP Query User{B85719AF-47E5-4CC8-8F16-BC985CEFEA44}C:\program files\chaos\vrlservice\vrol.exe] => (Block) C:\program files\chaos\vrlservice\vrol.exe => Нет файла
FirewallRules: [UDP Query User{B80693A7-91C2-468C-89A2-C0ADA4BA451C}C:\program files\chaos\vrlservice\vrol.exe] => (Block) C:\program files\chaos\vrlservice\vrol.exe => Нет файла
FirewallRules: [{487C9FA1-B750-43FC-9F0E-916E5D1E2B85}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
FirewallRules: [{16044347-45D8-42E7-A66D-C199F8140582}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
FirewallRules: [{333DB5D9-5508-4977-B9BE-284A826A12BD}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\manager.exe => Нет файла
FirewallRules: [{7B61EC50-837C-40B2-AFDE-9F082E4838CD}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\manager.exe => Нет файла
FirewallRules: [{29430B2B-ABD7-4391-A814-32788713562F}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
FirewallRules: [{B6663A4B-F328-4B8A-A06A-56839C4B6ED4}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Заодно полюбопытствую: какая такая важная программа установлена, при работе с которой появляется данная проблема?

 

И по поводу перехода на Windows 10: очень сомнительно, что при наличии 16 гигабайт оперативки столкнетесь с замедлением работы древнего ноутбука, даже с учетом окончания в октябре поддержки десятки. Окончание поддержки - это всего лишь окончание выпуска обновлений для нее. Но весьма критические обновления выпускаются даже и для более древних систем. Тем более поддержка семерки давно прекращена, но Вас это никак не останавливает от ее использования до сих пор. 

[KitKat]

Fixlog.txt

Программа , слава всем богам, не самая важная, но очень нужная. Переставить её без проблем, это всего лишь Corel DRAW. С другими была бы катастрофа) 

А по поводу вин10...ну не нравится она мне. На стационарном моноблоке стоит вин11, никак не могу переползти на него со всеми проектами. Хоть и тяжко древнему ноуту с ними, пока выжимаю из него всё на максимум. 

[thyrex]

4 часа назад, KitKat сказал:

это всего лишь Corel DRAW

тем более странно, что появление вируса происходит после запуска именно ее. Версия, которая без проблем должна работать на семерке безо всяких манипуляций с той программой, о которой шла речь с первого ответа.

 

Еще кое-что почистим.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{D45F043D-F17F-4e8a-8435-70971D9FA46D}\InprocServer32 -> D:\Blender 2.81\BlendThumb.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла
Toolbar: HKU\S-1-5-21-132998593-215092634-831248143-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-132998593-215092634-831248143-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

[KitKat]

Fixlog.txt Наконец то стало возможно отправить лог)
Но с Корелом что то надо делать...все сигнатуры при его работе появлялись, и выбивают его. 

Изменено 14 июля пользователем KitKat

[thyrex]

Т.е. это продолжается и до сих пор?

[KitKat]

Сегодня не проверяла, завтра предстоит в нём работать. Буду следить. 

[KitKat]

Снова вернулся.Мониторинг активности.txt

[KitKat]

Он не удаляем?

[safety]

1. Судя по мониторингу активности: 

Цитата

Сегодня, 11.07.2025 1:20:58    Запрещено    Kaspersky Internet Security    Kaspersky Internet Security    C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3        BlackPC\Black    Активный пользователь    Запрещено: MEM:Trojan.Win32.SEPEH.gen    Запрещено    MEM:Trojan.Win32.SEPEH.gen    Троянская программа    Высокая    Точно    System Memory    System Memory        Файл    
Сегодня, 11.07.2025 0:50:58    Обнаружен вредоносный объект    Kaspersky Internet Security    Kaspersky Internet Security    C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3        BlackPC\Black    Активный пользователь    Обнаружено: MEM:Trojan.Win32.SEPEH.gen    Обнаружено    MEM:Trojan.Win32.SEPEH.gen    Троянская программа    Высокая    Точно    System Memory    System Memory        Файл    Базы

последнее срабатывание у вас было 11.07, а сегодня уже 16.07

2. Я просил вас собирать образ автозапуска при запущенной программе, т.е. когда вы загружаете программу Corel, но в процессах активности по образам я не вижу активного Corel. Уточните, какой продукт Corel вы используете для работы, на каком диске он установлен, по какому пути размещен на вашем диске.

Изменено 16 июля пользователем safety

[KitKat]

Как он может быть 11.07 , если лог вчерашний? 

...Или я не тот фиганула в сообщениях... Упс...

 

Мониторинг активности2.txtТеперь точно тот. От этого вируса уже дёргает. 

Возможно зря пеняю на корел. Его выбивает , но вирус находится при фоновом сканировании касперского. Возможно совпадение? 

 

Мониторинг активности3.txt что то новое... Смог вылечить вчерашнее, и смог запретить сегодняшнее. Корел благополучно выбило. 

Изменено 16 июля пользователем KitKat

[thyrex]

В смысле Corel вываливается с ошибкой?

[KitKat]

При нажатие кнопки "лечить" закрывает программу.

Из всех, только с корелом так. 

[thyrex]

Не пробовали его удалить, включая Corel Shell Extension, и установить заново?

[KitKat]

Сейчас попробую. Как писала выше - программа не критичная, можно даже по свежее поставить.

[KitKat]

Новый  корел поставлен. Сигнатуры молчат. Буду мониторить дальше.