Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

MEM:Trojan.Win32.SEPEH.gen

BJStuff

Автор BJStuff
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

BJStuff

BJStuff

Опубликовано
Опубликовано

image.thumb.png.d419a6b69425285cd7842cbaef2a5389.pngЛечил компьютер от 4-ёх вирусов, среди которых 2 трояна. Остался только этот троян и путём лечения и перезагрузки он не удаляется. Пожалуйста подскажите, что нужно сделать, чтобы избавиться от последнего трояна!

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\gxvmtqzsxoix\bmpvykzsqdzh.exe','');
 SetServiceStart('JBINNQNN', 4);
 DeleteService('JBINNQNN');
 DeleteFile('C:\ProgramData\gxvmtqzsxoix\bmpvykzsqdzh.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

BJStuff

BJStuff

Опубликовано
  • Автор
Опубликовано

CollectionLog-2025.11.30-11.35.zipВирус ещё не удалён, но есть некоторые успехи, теперь я имею доступ к msconfig до этого вирус мне не позволял его открыть.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

    [*]Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
     
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Нет файла)
HKLM\...\RunOnce: [048fd5f3-1e58-4b57-8a2b-ead54e14eb4a] => "C:\Users\BJStuff\AppData\Local\Temp\{8bd0dfe2-9c14-4d71-87f2-a14c0403b4f8}\048fd5f3-1e58-4b57-8a2b-ead54e14eb4a.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6FC96B45-7509-4E94-BE87-1477E0B31C6C} - System32\Tasks\Mozilla\Firefox Background Update158.1.4304.71699.8.7848.54 S-1-5-21-1000-08E3FD3B  => C:\Windows\SysWOW64\regsvr32.exe [50176 2025-11-12] (Microsoft Windows -> Microsoft Corporation) -> /s /i "\\?\C:\Users\BJStuff\LightSalmon8.dat" <==== ВНИМАНИЕ
File: C:\Users\BJStuff\LightSalmon8.dat
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-11-12] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-11-12] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [110592 2025-11-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-09-17] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184704 2025-11-12] (Microsoft Windows -> Корпорация Майкрософт)
Folder: C:\Users\BJStuff\AppData\Local\qqQcRDIZM
Folder: C:\Users\BJStuff\AppData\Local\NjxmWJVAF
Folder: C:\Users\BJStuff\AppData\Local\LXDEUr
2025-09-24 21:52 - 2025-09-21 20:25 - 001446912 _____ C:\Users\BJStuff\LightSalmon8.dat
File: C:\WINDOWS\Whopping_Setup.exe
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionExtension ".sys"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\BJStuff"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\Users\BJStuff\AppData\Local\NjxmWJVAF"
Remove-MpPreference -ExclusionPath "C:\Users\BJStuff\AppData\Local\qqQcRDIZM"
EndPowerShell:
FirewallRules: [{5D9BDCDC-BA14-4E80-9D41-3E690CB7E409}] => (Allow) E:\SteamLibrary\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
FirewallRules: [{6454E34E-300A-4D4C-8CAB-DCBEEC5BD769}] => (Allow) E:\SteamLibrary\steamapps\common\Victoria 3\launcher\dowser.exe => Нет файла
FirewallRules: [TCP Query User{F9D14B51-A534-4002-83DD-F53932FC8117}E:\steamlibrary\steamapps\common\neighbors suburban warfare\jp\binaries\win64\jp-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\neighbors suburban warfare\jp\binaries\win64\jp-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{057F221B-D202-4E09-B1E6-CDE43B3EEB26}E:\steamlibrary\steamapps\common\neighbors suburban warfare\jp\binaries\win64\jp-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\neighbors suburban warfare\jp\binaries\win64\jp-win64-shipping.exe => Нет файла
FirewallRules: [{F9A8C4C9-961F-4A1E-AD97-46AECC9E8659}] => (Allow) E:\SteamLibrary\steamapps\common\DOOMEternal\launcher\idTechLauncher.exe => Нет файла
FirewallRules: [{63F88E02-8D42-4CF1-861E-1545BE1D1E10}] => (Allow) E:\SteamLibrary\steamapps\common\DOOMEternal\launcher\idTechLauncher.exe => Нет файла
FirewallRules: [{4F9B380E-7505-4C34-8180-63EC56BE8354}] => (Allow) E:\SteamLibrary\steamapps\common\Mortal Kombat 11\Binaries\Retail\MK11.exe => Нет файла
FirewallRules: [{DE2F7AB1-D2D3-47F8-84E6-9B51E85B4A91}] => (Allow) E:\SteamLibrary\steamapps\common\Mortal Kombat 11\Binaries\Retail\MK11.exe => Нет файла
FirewallRules: [{7E8ECE26-A8DA-4E5D-A558-B8E70B1035FD}] => (Allow) E:\SteamLibrary\steamapps\common\Mortal Kombat 11\Binaries\Retail\MK11_DX12.exe => Нет файла
FirewallRules: [{337535AB-F28B-4609-8FA0-F02105AF7A8D}] => (Allow) E:\SteamLibrary\steamapps\common\Mortal Kombat 11\Binaries\Retail\MK11_DX12.exe => Нет файла
FirewallRules: [{1DF052FC-50A6-4302-94E6-734C9BFAB636}] => (Allow) E:\SteamLibrary\steamapps\common\AoCII\AoC2.exe => Нет файла
FirewallRules: [{65161E9D-284B-4A10-A22E-0F4DA057E9AF}] => (Allow) E:\SteamLibrary\steamapps\common\AoCII\AoC2.exe => Нет файла
FirewallRules: [{0F4A4904-8510-4D70-B0D9-3AF4956A3760}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\outlook.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

BJStuff

BJStuff

Опубликовано
  • Автор
Опубликовано

Fixlog_30-11-2025 13.12.08.txtВсё выполнил, только немного не могу понять зачем копировал код в буфер, если его не надо было никуда вставлять.

thyrex

thyrex

Опубликовано
Опубликовано
16 минут назад, BJStuff сказал:

только немного не могу понять зачем копировал код в буфер, если его не надо было никуда вставлять

программа сама взяла его из буфера обмена.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
C:\Users\BJStuff\AppData\Local\qqQcRDIZM
C:\Users\BJStuff\AppData\Local\NjxmWJVAF
C:\Users\BJStuff\AppData\Local\LXDEUr
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


Проблема решена?

BJStuff

BJStuff

Опубликовано
  • Автор
Опубликовано

image.png.1f2274734ec595341c8dfc974bad4228.pngПроблема полностью решена, теперь KVRT не находит троян! Благодарю вас за помощь!!!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • СергейЧ
      MEM:Trojan.Win32.SEPEH.gen
      Автор СергейЧ
      Добрый день. Собирался создавать отдельную тему с таким же вопросом, вчера играл в BlackDesert и фоном касперский выдал что нашел MEM:Trojan.Win32.SEPEH.gen но не указал конкретно на клиент БДО, а ссылается на системную память. 2жды была снесена система и загружена с флешки с нуля, 2жды после этого была установлена другая игра при нахождении в которой каспер при быстрой проверке находит все тот же MEM:Trojan.Win32.SEPEH.gen. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
    • Dmitry5487
      Появился вирус на компьютере mem:Trojan.Win32.SEPEH.gen. Касперский не удаляет.
      Автор Dmitry5487
      Добрый день! Вчера появился вирус при фоновом сканировании системы - mem:Trojan.Win32.SEPEH.gen. Касперский его вроде удаляет, но после он снова появляется. Прошу помощи в решении этой проблемы!
      Сейчас он снова нашел вирус, я не стал его удалять, сделал логи и пришел к вам 😃
      При обнаружении антивирус пишет вот это:
      Событие: Обнаружен вредоносный объект
      Пользователь: HOMEPC\User
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: MEM:Trojan.Win32.SEPEH.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Экспертный анализ
      Дата выпуска баз: Сегодня, 02.12.2025 13:09:00
      Помогите, пожалуйста!
      UPD
      Увидел похожую тему, там у человека антивирус жалуется на игру Black Desert online. У меня она тоже есть. Почти постоянно висит в трее. Скачана с оф сайта.
       CollectionLog-2025.12.02-16.30.zip
    • Denis08
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Denis08
      Добрый день, уважаемые эксперты! 
      У меня установлен Kaspersky Plus. Со вчерашнего дня начал находить вирус.
      Вот из отчета:
       
      Событие: Обнаружен вредоносный объект
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: MEM:Trojan.Win32.SEPEH.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: BlackDesert64.exe
      Путь к объекту: pmem:\C:\Pearlabyss\BlackDesert\bin64
      Причина: Экспертный анализ
      Дата выпуска баз: Вчера, 01.12.2025 18:26:00
       
      Выбираю лечить с перезагрузкой, перезагружается, делаю быструю проверку, все хорошо. После запуска приложения опять ругается. Если не лечить, а просто закрыть приложение, то проверка опять ничего не находит. Kaspersky Virus Removal Tool ничего не нашел. Файл логов прикладываю. Заранее благодарю.
       
      CollectionLog-2025.12.02-15.23.zip
    • kyrios
      [РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen
      Автор kyrios
      при сканировании через Kaspersky были обнаружены вирусы MEM:Trojan.Win32.SEPEH.gen 
       
      CollectionLog-2025.11.26-19.57.zip
      при попытке удалить начинаются проблемы с виндовс выскакивает куча ошибок и приходиться ребутать систему 
    • НиК25
      MEM:Trojan.Win32.SEPEH.gen
      Автор НиК25
      Появился MEM:Trojan.Win32.SEPEH.gen на компьютере. Пробовали использовать KES 11.3 (расширенный) - не вылечил. Использовали KVRT - нашёл, но не вылечил. Пробовали утилиту Dr. Web - даже не нашёл. Расположение файла не получается найти, просто в системной памяти. 
×
×
  • Создать...