MEM:Trojan.Win32.SEPEH.gen

[Denis08]

Добрый день, уважаемые эксперты! 

У меня установлен Kaspersky Plus. Со вчерашнего дня начал находить вирус.

Вот из отчета:

 

Событие: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Trojan.Win32.SEPEH.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: BlackDesert64.exe
Путь к объекту: pmem:\C:\Pearlabyss\BlackDesert\bin64
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 01.12.2025 18:26:00

 

Выбираю лечить с перезагрузкой, перезагружается, делаю быструю проверку, все хорошо. После запуска приложения опять ругается. Если не лечить, а просто закрыть приложение, то проверка опять ничего не находит. Kaspersky Virus Removal Tool ничего не нашел. Файл логов прикладываю. Заранее благодарю.

 

CollectionLog-2025.12.02-15.23.zip

[Sandor]

Здравствуйте!

 

Программу Black Desert ставили самостоятельно?

 

Добавьте такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Denis08]

Black Desert это игра. Во время сканирования AutoLoggerом была запущена и активна (не свернута), поэтому нагрузка на GPU. Я так дума ю. Отчеты прикладываю. Сейчас не была запущена.

Addition.txt FRST.txt

 

Вот еще отчеты с запущенной, но свернутой игрой. Касперский все равно ругается.

CollectionLog-2025.12.02-19.38.zip Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-291271737-1676396204-2715183400-1002\...\MountPoints2: {23fe3dc5-bfee-11f0-bd99-806e6f6e6963} - "E:\HonorSuiteOnlineInstaller.exe" 
  HKU\S-1-5-21-291271737-1676396204-2715183400-1002\...\MountPoints2: {5dfa40e5-bf14-11f0-bd98-3c64cfca45e0} - "E:\HonorSuiteOnlineInstaller.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  S3 cpuz159; \??\C:\WINDOWS\temp\cpuz159\cpuz159_x64.sys [X] <==== ВНИМАНИЕ
  FirewallRules: [{27192B9C-B1FA-439B-9D96-D462B641BDD9}] => (Allow) C:\Program Files\Fortinet\FortiClient\FortiClient.exe => Нет файла
  FirewallRules: [{C6128E4F-C716-4B79-9B74-008CD9A83AF5}] => (Allow) C:\Program Files (x86)\NCSOFT\Purple\purple-box\PurpleBox.exe => Нет файла
  FirewallRules: [{10A36D25-B764-42EF-A2A1-C93605BEE381}] => (Allow) C:\Program Files (x86)\NCSOFT\Purple\2.24.820.22\cefsharp.browsersubprocess.exe => Нет файла
  FirewallRules: [{8AC504CF-2FFB-409F-8605-151F597E2BB3}] => (Allow) C:\Program Files (x86)\NCSOFT\Purple\yeti\yeti_v2.1.450.2407_global\purpleon.exe => Нет файла
  FirewallRules: [{6B3BCBD0-0ECC-4A03-937B-6A54C94D879D}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
  FirewallRules: [{84039829-6FDD-4E35-907B-C02975E4D6BF}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
  FirewallRules: [{C26A4F96-1801-4329-85C7-5DDEE73B5991}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
  FirewallRules: [{BD70B5E5-0929-4B48-B9E3-93F06991BCAC}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
  FirewallRules: [{FBC43D19-B967-4738-842F-994D0F6E6B91}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  FirewallRules: [{584F1FF8-342B-4FEB-997E-C19A6434C40E}] => (Allow) C:\Users\User\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Деинсталлируйте прекративший поддержку - Skype, версия 8.150

[Denis08]

Выполнил

Fixlog.txt

[Sandor]

Не нужно было дважды выполнять скрипт, отчёт был перезаписан. Но не страшно.

Если срабатывания антивируса продолжаются, подождите некоторое время. Подозреваем, что это ложное срабатывание и пытаемся уточнить.

[Sandor]

@Denis08 проверьте актуальны ли базы антивируса. Если нет, обновите принудительно и сделайте ещё раз полную проверку. Сообщите результат.

[Denis08]

Сейчас уже не ругается. Спасибо большое.

[Sandor]

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Denis08]

Выполнил

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA.
Oracle VirtualBox 7.1.14 v.7.1.14 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
paint.net v.5.0.13 Внимание! Скачать обновления
Telegram Desktop v.6.3.4 Внимание! Скачать обновления
Outline 1.14.0 v.1.14.0 Внимание! Скачать обновления
Yandex v.25.10.2.1176 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.142.0.7444.176 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Mozilla Thunderbird (x64 ru) v.128.14.0 Внимание! Скачать обновления
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО