[РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen

[kyrios]

при сканировании через Kaspersky были обнаружены вирусы MEM:Trojan.Win32.SEPEH.gen 

 

CollectionLog-2025.11.26-19.57.zip

при попытке удалить начинаются проблемы с виндовс выскакивает куча ошибок и приходиться ребутать систему 

[safety]

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[kyrios]

KYRIOS_2025-11-27_17-55-52_v5.0.3v x64.7z

[safety]

возможно, что детекты, которые показаны на скриншоте, связаны с детектированием драйвера:

C:\USERS\P***\ONEDRIVE\РАБОЧИЙ СТОЛ\МОЁ\ZAPRET\BIN\WINDIVERT64.SYS

not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen

 

пробуйте его добавить в исключение из проверки и проверить результат по детекту SEPEH

 

+ добавьте отчеты Касперского по обнаружению угроз и сканированию

Изменено 28 ноября пользователем safety

[kyrios]

Драйвер про который вы говорите это файлы помогающие работать ютубу и дискорду. 

Я конечно попробую добавить в исключение но только когда приду с работы, я предполагаю что это не с этим связан детект

Не подскажите как сделать отчеты? 

[safety]

По поводу драйвера WINDIVERT64.SYS - это только предположение (так как есть по нему детект not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen).

Может и в чем то другом причина детекта SEPEH. Попробуем выяснить с помощью отчетов.

Надо зайти в отчеты Касперского, выбрать последний отчет о проверке и экспортировать его в текстовый файл. 

Изменено 28 ноября пользователем safety

[kyrios]

После добавления в исключение нужно будет запустить быструю проверку или полную? 

И хотелось бы уточнить в 19:00 по мск вы можете пожалуйста быть в онлайне что бы как то по быстрее решить этот вопрос? 

[safety]

Важно проверить сохранится ли детект SEPEH после добавления в исключение WINDIVERT64.SYS или нет.

Если SEPEH обнаруживался в системе при быстрой проверке, то достаточно будет только быстрой.

по 19:00 не уверен что буду еще в сети. +4 Msk, смогу проверить только утром.

Изменено 28 ноября пользователем safety

[kyrios]

5 минут назад, safety сказал:

Важно проверить сохранится ли детект SEPEH после добавления в исключение WINDIVERT64.SYS или нет.

Если SEPEH обнаруживался в системе при быстрой проверке, то достаточно будет только быстрой.

по 19:00 не уверен что буду еще в сети. +4 Msk, смогу проверить только утром.

Детект был обнаружен после установки касперского, то есть при его первом запуске и какую он проверку выполняет при первом пуске я не понял быструю или полную 

[safety]

Тогда тем более надо смотреть, в какие даты был детект.

Может быть на текущий момент детекты прекратились. Т.е. антивир мог что-то прибить, и удалить угрозы, а записи по детекту остались в журнале.

[kyrios]

такс ну что можно сказать, после добавления WINDIVERT64.SYS в исключения и проведения полного сканирования вирус действительно не был обнаружен прикладываю файл отчёта

и скриншоты отчёт.txt

но когда захожу во вкладку "главная"

при этом в центре уведомлений они всё так же есть 

 

[kyrios]

по искал в интернете что значит это "pmem" PMem (Persistent Memory, постоянная память) — это технология, которая сочетает скорость традиционной памяти (DRAM) с стабильностью хранения данных, как у SSD.

к примеру вот первые результаты поиска по запросу "pmem:\C\Windows\System32\oobe\UserOOBEBroker.exe почему касперский думает что это вирус?" Антивирус Касперского может ошибочно считать файл UserOOBEBroker.exe вирусом, так как он не является вредоносным.  UserOOBEBroker.exe — легитимный процесс Windows, который отвечает за обработку запросов контроля учётной записи пользователя (UAC). Когда приложению требуются права администратора, этот процесс просит пользователя подтвердить действие.

[safety]

Если после нового сканирования обнаружений нет, значит: или работает исключение драйвера из проверки, или антивирус что-то зачистил при первой установке. (Вы так и не предоставили отчеты по обнаружению и сканированию в текстовом виде.)

 

В центре уведомлений остались сообщения по детектам. Но они датированы 26.11, т.е. новых уведомлений на 27-29.11 нет.

Остались так как не было реакции со стороны пользователя по данным уведомлениям.

Что вообщем то логично, почему такие записи остаются: антивирус предполагает, что раз реакции не было, то угроза может сохраняться, а новые проверки могли быть не полными, и не затронули проверкой ранее обнаруженные объекты.

 

По таким старым уведомлениям действует срок жизни, сколько времени они сохраняются в центре уведомлений.

 

Если очистить отчеты, то эти уведомления исчезнут. А новых возможно уже/еще нет.

 

Но вы можете проверить: временно убрать драйвер из исключений, и просканировать систему.

[kyrios]

Да я думаю уже не стоит играться а то мне опять винду восстанавливать, я уже при первом обнаружении нажал удалить и мне пришлось отказывать систему(благо резервную копию сделал) 

Отчет я скидывал же он прям и подписан отчет.txt

После сканирования нажал сохранить отчет и приложил его сюда в месте со скриншотами

[safety]

прошу прощения, в предыдущем ответе переключился сразу на скины, и не посмотрел файл отчет.txt, действительно SEPEH детекта нет. Хотя осталась реакция на драйвера.

Сегодня, 28.11.2025 19:01:13    C:\Users\***\OneDrive\Рабочий стол\моё\zapret\bin\WinDivert64.sys    Обнаружено    Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным    not-a-virus:UDS:RiskTool.Multi.WinDivert.a    Облачная защита    Файл    C:\Users\***\OneDrive\Рабочий стол\моё\zapret\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    KYRIOS\***    Активный пользователь

 

Но это уже совсем другой детект. :not-a-virus.RiskTool.

 

SEPEH здесь на форуме часто встречается, и чаще с этим детектом бывают действительно вредоносные приложения, иногда бывает ложное срабатывание. или реакция на risktool,

 

добавьте новые логи FRST для контроля

Изменено 29 ноября пользователем safety