Появился вирус на компьютере mem:Trojan.Win32.SEPEH.gen. Касперский не удаляет.

[Dmitry5487]

Добрый день! Вчера появился вирус при фоновом сканировании системы - mem:Trojan.Win32.SEPEH.gen. Касперский его вроде удаляет, но после он снова появляется. Прошу помощи в решении этой проблемы!

Сейчас он снова нашел вирус, я не стал его удалять, сделал логи и пришел к вам 😃

При обнаружении антивирус пишет вот это:

Событие: Обнаружен вредоносный объект
Пользователь: HOMEPC\User
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянская программа
Название: MEM:Trojan.Win32.SEPEH.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 02.12.2025 13:09:00

Помогите, пожалуйста!

UPD

Увидел похожую тему, там у человека антивирус жалуется на игру Black Desert online. У меня она тоже есть. Почти постоянно висит в трее. Скачана с оф сайта.

 CollectionLog-2025.12.02-16.30.zip

Изменено 2 декабря пользователем Dmitry5487
UPD

[Sandor]

Здравствуйте!

 

Не пишите в чужой теме, а просто наберитесь терпения. Здесь отвечают не сотрудники компании, а обычные (конечно, подготовленные) пользователи. И отвечают в свободное от других занятий время.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Tasks: iTop easter Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\itopestea25.exe /rpop (file missing)
O23 - Driver S3: NEProtect - D:\Steam\steamapps\common\Once Human\NEProtect.sys (file missing)

Перезагрузите компьютер.

 

Обновите версию антивируса до актуальной (в вашем случае до KasperskyPlus).

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Dmitry5487]

"Пофиксил", файлы прикрепляю.

Как обновить Касперского? У меня лицензия на этот еще почти 3 года действует. Она сохранится?

Комментировать чужие темы не буду.

UPD

Обновил, спасибо!

Addition.txtFRST.txt

Изменено 2 декабря пользователем Dmitry5487
UPD

[Sandor]

Если у вас есть учётная запись в My Kaspersky и там указан ключ, то сохранится.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Edge HomePage: Default -> hxxp://start.webalta.ru/
  C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\fdhgeoginicibhagdmblfikbgbkahibd
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  S3 HWiNFO_191; C:\Users\User\AppData\Local\Temp\HWiNFO64A_191.SYS [57936 2025-04-10] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
  S3 HWiNFO_205; C:\Users\User\AppData\Local\Temp\HWiNFO_x64_205.sys [57512 2025-06-09] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
  2025-12-02 14:47 - 2025-04-12 20:53 - 000000000 ____D C:\Users\User\AppData\Local\BitTorrentHelper
  AlternateDataStreams: C:\Users\User\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
  FirewallRules: [{8D8559E5-9DFF-485F-A68A-FE6164CFFE7A}] => (Allow) LPort=47984
  FirewallRules: [{5BAFF6AB-0835-48E6-902F-37B0865ACB89}] => (Allow) LPort=47989
  FirewallRules: [{F0FB6D01-7ECB-43B4-B52F-288582436785}] => (Allow) LPort=48010
  FirewallRules: [{AF3DC9E5-BD87-400B-8212-723020368063}] => (Allow) LPort=47998
  FirewallRules: [{D593868E-102F-4631-9329-1C1AE6F95298}] => (Allow) LPort=47999
  FirewallRules: [{9B0E04BE-3975-4178-BDD2-6403C461608C}] => (Allow) LPort=48000
  FirewallRules: [{6473BD30-4F5A-4445-9AA6-13798B600671}] => (Allow) LPort=48010
  FirewallRules: [{7706E3BF-A201-44AD-8449-D6B63D03BA58}] => (Allow) LPort=5353
  FirewallRules: [{313EF969-5472-41C4-B203-175BB467AFEC}] => (Allow) LPort=9993
  FirewallRules: [{272B9E1A-2C66-44F2-9D4A-99C36A58D891}] => (Allow) C:\ProgramData\ZeroTier\One\zerotier-one_x64.exe => Нет файла
  FirewallRules: [{950A85BA-D598-4511-958D-7077BA7D471E}] => (Allow) LPort=9993
  FirewallRules: [{78392A9E-BD4A-478A-AC07-F64053FC7A2E}] => (Allow) LPort=5353
  FirewallRules: [{EA48B95D-BEA5-49C4-806F-E2132744DB34}] => (Allow) LPort=48010
  FirewallRules: [{61816BA9-34C0-4A62-AFAD-14D6DA90B0E6}] => (Allow) LPort=5353
  FirewallRules: [{35A97288-633E-43F0-96E7-DF9C80608BB1}] => (Allow) LPort=48010
  FirewallRules: [{67116C4C-C1E7-47E1-86C8-3E635513F83F}] => (Allow) C:\ProgramData\ZeroTier\One\zerotier-one_x64.exe => Нет файла
  FirewallRules: [{7057AB64-F8B8-4F4B-A5D0-898C8E00E72A}] => (Allow) C:\ProgramData\ZeroTier\One\zerotier-one_x64.exe => Нет файла
  FirewallRules: [{5BDC5FAC-F50E-481E-B324-E81E3EE6F2B6}] => (Allow) LPort=32683
  FirewallRules: [{56B61850-F146-4ACB-B1DA-CF23616DEE49}] => (Allow) LPort=33683
  FirewallRules: [{AC8DDF8A-EAFA-4409-8051-E12238B9AC94}] => (Allow) LPort=26822
  StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  EndBatch:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Dmitry5487]

Сделал как вы сказали. Вот файл

Fixlog.txt

Изменено 2 декабря пользователем Dmitry5487

[Sandor]

О какой программе вы говорите, о FRST64.exe?

Файл Fixlog.txt появился?

[Dmitry5487]

Я ошибся, тк с панели быстрого запуска удалилась ссылка на папку Downloads. Посмотрел не туда( В посте выше нужный вам файл

[Sandor]

Хорошо. Сделайте полную проверку антивирусом и сообщите результат. Постарайтесь обновить его версию.

[Dmitry5487]

Запустил полную проверку. Ранее вирус обнаруживался только при фоновой проверке. Я запускал полную и быструю, но Касперский вирус не находил =(

UPD Обновил до плюса

Изменено 2 декабря пользователем Dmitry5487
Обновил антивирус

[Sandor]

Хорошо, мне скоро уходить, так что последите будет ли обнаружение при фоновой проверке.

[Dmitry5487]

Снова обнаружил, но уже более конкретно, тк обновил антивирус (3 файла нашел). Вот его отчет:

1. Событие: Обнаружен вредоносный объект
Пользователь: HOMEPC\User
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Trojan.Win32.SEPEH.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: PhoneExperienceHost.exe
Путь к объекту: pmem:\C:\Program Files\WindowsApps\Microsoft.YourPhone_1.25102.64.0_x64__8wekyb3d8bbwe
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 02.12.2025 13:09:00

 

 

2. Событие: Обнаружен вредоносный объект
Пользователь: HOMEPC\User
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Trojan.Win32.SEPEH.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: backgroundTaskHost.exe
Путь к объекту: pmem:\C:\Windows\System32
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 02.12.2025 13:09:00

 

3.Событие: Обнаружен вредоносный объект
Пользователь: HOMEPC\User
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Trojan.Win32.SEPEH.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: BlackDesert64.exe
Путь к объекту: pmem:\D:\Games\BlackDesert\bin64
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 02.12.2025 13:09:00

 

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Dmitry5487]

Добрый день!

1 час назад, Sandor сказал:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Какого сканирования? Запустил, все файлы прогнал.

Выкладываю образ автозапуска:HOMEPC_2025-12-03_09-59-55_v5.0.3v x64.7z

[Sandor]

7 минут назад, Dmitry5487 сказал:

Какого сканирования?

Сканирования AutorunsVTchecker. Если уже запускали, повторять не нужно.

 

Программу - Sunshine - ставили самостоятельно? (Связана с какой-то игрой из Steam). У неё сомнительная репутация.

 

Согласен с коллегой. Некоторое время подождите, попробуем выяснить.

[Dmitry5487]

Да, ставил сам. Спасибо, буду ждать 😃