Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.

 

Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.

CollectionLog-2025.09.14-21.03.zip

Опубликовано

+

Добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с ! отслеживанием процессов и задач !.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с ! отслеживанием процессов и задач !:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

  • Like (+1) 1
Опубликовано (изменено)

В автозапуске есть программа, которая классифицируется как потенциально нежелательная. возможно, что детект SEPEH связан с запуском этой программы.

 

image.png

Изменено пользователем safety
Опубликовано
3 минуты назад, safety сказал:

В автозапуске есть программа, которая классифицируется как потенциально нежелательная. возможно, что детект SEPEH связан с запуском этой программы.

 

image.png

то есть нужно удалить эту программу?

Опубликовано (изменено)

Скриптом очистим задачу с запуском этой программы.

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\INFATICA P2B\INFATICA_AGENT.EXE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://SETTING-SEARCH.CLICK
delall %SystemDrive%\PROGRAM FILES (X86)\INFATICA P2B\INFATICA_AGENT.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\IGFXDTCM.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\REGIDLEBACKUP
delref {190BA3F6-0205-4F46-B589-95C6822899D2}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\CORRUPTIONDETECTOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WAASMEDIC\PERFORMREMEDIATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\STORAGESENSE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\RGNUPDT-CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\RUNFULLMEMORYDIAGNOSTIC
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICRESOLVER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\NETTRACE\GATHERNETWORKINFO
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\STARTUPAPPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER SCHEDULED SCAN
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CACHE MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\DECOMPRESSIONFAILUREDETECTOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAINTENANCE\WINSAT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSTOASTTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\PROGRAMDATAUPDATER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENTONSCENARIODOWNLOAD
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MICROSOFT COMPATIBILITY APPRAISER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\PROCESSMEMORYDIAGNOSTICEVENTS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MAREBACKUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\OOBE-MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICDATACOLLECTOR
delref {E7ED314F-2816-4C26-AEB5-54A34D02404C}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\MEMUSAGETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\DIAGNOSTICS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\POWER EFFICIENCY DIAGNOSTICS\ANALYZESYSTEM
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\WINDOWSACTIONDIALOG
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER VERIFICATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSUPDATETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\NOTIFICATIONS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\RGNUPDT-RUN
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\INSTALLER\SETUP.EXE
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE
;-------------------------------------------------------------

regt 40
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
Опубликовано

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Далее,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-955767338-2801943798-4284099242-1001\...\Run: [YandexBrowserAutoLaunch_AB2A77906DF77906B832F78A98C4B448] =>
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
CHR DefaultSearchURL: Default -> hxxps://setting-search.click/?q={searchTerms}
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-06-03] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534976 2025-07-01] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-06-03] (Microsoft Windows -> Microsoft Corporation)
S4 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [434176 2025-07-01] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3441152 2025-07-09] (Microsoft Windows -> Microsoft Corporation)
2025-08-28 11:10 - 2025-09-14 20:28 - 000000000 ____D C:\ProgramData\yzksdkbakpnl
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте новые логи FRST для контроля.

 

 

Опубликовано (изменено)

_bkp службы очищены.

Цитата

"HKLM\System\CurrentControlSet\Services\BITS_bkp" => успешно удалены
BITS_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\dosvc_bkp => успешно удалены
dosvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\UsoSvc_bkp => успешно удалены
UsoSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\WaaSMedicSvc_bkp => успешно удалены
WaaSMedicSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\wuauserv_bkp => успешно удалены
wuauserv_bkp => служба успешно удалены

 

Если других вопросов нет по работе системы:

 


 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено пользователем safety
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Евгений Леонов
      Автор Евгений Леонов
      Здравствуйте
       
      Антивирус Касперского обнаружил на компьютере вирус MEM:Trojan.Win32.SEPEH.gen, однако, попытки его удалить средствами антивируса не увенчались успехом.
      Я собрал максимальное количество логов, согласно советам в соседних ветках, и прикладываю их к этой теме. В их числе - лог Касперского (полное сканирование),  лог uVS, лог Farbar Recovery Scan Tool и лог автоматического сборщика логов. Проверку CureIT также проводил, она не обнаружила вредоносного ПО.
      Очень надеюсь, что удастся помочь с моей проблемой.
       
       
       
      С уважением, Евгений

      Касперский - полное сканирование.txt Farbar - FRST.txt Farbar - Addition.txt CollectionLog-2026.07.02-16.09.zip uVS - LAPTOP-SRMQNDT7_2026-07-02_12-33-21_v5.0.5v x64.7z
    • TonTonchik
      Автор TonTonchik
      Здраствуйте, похожий форму уже был, но проблема не устраняется. Windows не может его удалить

    • Serebro
      Автор Serebro
      Всем привет
      Словил вирус RMS при попытке установить паленую игру по ссылке 
      Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное. 
      Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes. 
      Поставил Kaspersky Plus 21.25 последний обновленный. 
      Нашел лог работы RMS, в нем все записи имеют вид: 
      Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).
      Журналы системы удалились за эти дни, не успел их посмотреть.
      Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.


       
      В принципе понятно что это и как работает, и что сам виноват, но хочется
      1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
      2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
      Система Windows 10 22H2
      Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip
      avz_sysinfo.zip cureit.rar
    • Zhivitchenko14
      Автор Zhivitchenko14
      Добрый день!
      Долго прогружаются иконки + сбрасывается подключение к вай-фай и подключается к нему долго (думаю, это как следствие основной проблемы)
      Также в журнале событий завершаются службы bits и UsoSvc
      По опыту предыдущего запроса на другом компе я скачал программу и просканировал комп
      Файлы логов во вложении в архиве
      Прошу помочь!
      Логи(05.06.2026).7z
    • Moongaze
      Автор Moongaze
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      Windows defender его видимо удаляет, но он появляется заново. Раз в минуту моргает отображение, иногда две штуки показывает сразу, иногда ни одного.

      Возможный дубль 





×
×
  • Создать...