Трудности с удалением вируса MEM:Trojan.Win32.SEPEH.gen

[Hrush]

После установки был найден данный вредитель, касперский ругается, но сделать ничего не может. Может у вас получиться?

otchet.txt LAPTOP-GK73GE8P_2025-09-23_22-53-16_v5_0_1v_x64.7z

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
icsuspend
delfake
zoo %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
del %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
delall %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delref WDE:\.EXE
delref WDE:\.SYS
delref %SystemDrive%\USERS\ASUS
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemRoot%
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\USERS\ASUS\DESKTOP\ZAPRET-DISCORD-YOUTUBE-1.8.0\BIN\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES\WIREGUARD\WIREGUARD.EXE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.47\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 25 сентября пользователем safety

[Hrush]

Не получилось, при перезапуске касперский все равно его видит 

2025-09-23_22-42-53_log.txt FRST.txt

[Hrush]

Касперский не может сканирование закончить, весит на 1 проценте

[safety]

а зачем чужие скрипты выполняете, когда у вас свой скрипт есть для выполнения.

Скрипты, которые мы пишем, не являются универсальным лекарством от всех болезней.

Вам для решения проблемы необходим скрипт, который опубликован в вашей теме.

Изменено 25 сентября пользователем safety

[Hrush]

Так ваш и использовал, другие темы даже не пробовал открывать. Они же разные под каждые ситуации 

 

 

Изменено 24 сентября пользователем Hrush

[safety]

Трудностей с удалением майнера здесь нет.

 

По логу скрипта что я вижу:

что скрипт был выполнен в вашей системе:

Текущий пользователь: LAPTOP-GK73GE8P\Asus

и симптомы заражения ваши:
 

Цитата

 

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CONHOST.EXE [15084]

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\EXPLORER.EXE [15520]

(!) Процесс нагружает CPU: FAKE:C:\WINDOWS\EXPLORER.EXE [15520]

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [15520], tid=15832

 

 

а вот команды, которые выполнены в скрипте совсем другие, которых и в помине нет в том скрипте, что вам предоставлен.

 

 

соответственно, нет команд, которые должны были вычистить систему:

заморозка потоков, выгрузка фейковых процессов, удаление службы вредоноса, и самого тела.

 

Здесь скрин вашего скрипта, который выше в теме.

 

 

Выполните еще раз указанный для вас скрипт, после перезагрузки добавьте лог выполнения скрипта для контроля.

Антивирус Касперского, на момент выполнения скрипта лучше временно отключить.

Изменено 25 сентября пользователем safety

[Hrush]

Здравствуйте,

Все также сидит, при проверке все равно ругает за троян

FRST.txt

[safety]

Так и будет сидеть, если вы не будете выполнять наши рекомендации.

 

Жду от вас выполнения предоставленного скрипта в uVS,

Написано было в сообщении:

"Выполните еще раз указанный для вас скрипт, после перезагрузки (системы) добавьте лог выполнения скрипта для контроля."

+

и ранее...

Цитата

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS.

----------

если что-то непонятно с выполнением скриптов в uVS - напишите.

Не поможет, пойдем дальше, будем смотреть логи FRST.

 

Изменено 26 сентября пользователем safety

[Hrush]

Здравствуйте. Скрипт был выполнен, но файл дата_время не создается. Пробовал два раза повторить одно и то же, но лога с uVS так и не создался 

 

11 минут назад, Hrush сказал:

Здравствуйте. Скрипт был выполнен, но файл дата_время не создается. Пробовал два раза повторить одно и то же, но лога с uVS так и не создался 

Сейчас выполню еще один цикл и приложу скриншоты и лог

[Hrush]

Провел цикл: Скрипт, перезапуск, скрипт. Скрипт на данном скриншоте был взят с этой темы. Лог "дата_время" не могу прикрепить, он просто не создается. Не знаю, что еще сделать, чтобы данный лог появился 

[safety]

uVS запускаете из архива uvs_latest.zip?

Распаковали архив в отдельную папку перед запуском?

Кнопку "Выполнить" нажимаете после загрузки скрипта из буфера обмена?

Антивирус Касперского отключите на момент выполнения скрипта.

 

Читаем внимательно, как выполняется скрипт в uVS.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

1. ЗАпускаем start,exe от имени Администратора (если не запущен)

2. выбираем текущий пользователь,

3. Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

4. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

5. В окне "выполнить скрипт" нажимаем кнопку Выполнить.

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
;------------------------autoscript---------------------------
delref %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
del %SystemDrive%\PROGRAMDATA\WMDLOAKEIVHH\PYDSMFKQZPCV.EXE
delall %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delref WDE:\.EXE
delref WDE:\.SYS
delref %SystemDrive%\USERS\ASUS
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemRoot%
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\USERS\ASUS\DESKTOP\ZAPRET-DISCORD-YOUTUBE-1.8.0\BIN\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES\WIREGUARD\WIREGUARD.EXE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1135\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.4.947\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.47\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\109.0.1518.70\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
;-------------------------------------------------------------

restart
czoo

 

Изменено 28 сентября пользователем safety

[Hrush]

Да, все верно. Распакован, от имени администратора, под текущим пользователем, скрипт выполняю, антивирус выключен. При перезагрузке пишет Your system in a trouble или что-то такое и перезагружается. Выполнил еще раз скрипт прямо сейчас, но файл дата_время не создался и троян также остался

 

Хотел приложить видео, но объём больше 5 и не выйдет. Но скрипт был выполнен, в системе он все также сидит, а файл с отчет большей не создается по неизвестной причине

[safety]

Этот же скрипт выполните в uVS из безопасного режима системы. Safe mode. После выполнения скрипта добавьте лог выполнения скрипта.

Изменено 1 октября пользователем safety