[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна

[eturrno]

была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z

LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 

license.txt readme.txt

Изменено 2 марта пользователем eturrno

[safety]

Добавьте, пожалуйста, отчет по обнаружениям и сканированию из антивируса Касперского, чтобы можно было увидеть дату и время последнего обнаружения SEPEH

+

Вопрос:

Этот продукт у вас в рабочем состоянии? NORTON SECURITY

Возможно, что Касперский реагирует на присутствие второго установленного антивируса. В котором нет смысла, если

а) продукт не рабочий

б) два установленных антивируса - большой стресс для системы.

 

Оставьте один продукт, который активирован, с лицензией, с обновлением баз, и который в рабочем состоянии.

Изменено 2 марта пользователем safety

[eturrno]

хочу уточнить сканирование Касперского, какой именно отчет желательно предоставить, быстрая проверка или полная проверка?

Нет, NORTON SECURITY не в рабочем состоянии, удалить его не получается. В настройках его нет, а когда были попытки удалить ранее, не получалось(просил загрузить ссылку с подтверждением об удалении, она не грузилась и были попытки удалить с помощью других антивирусов, но уже не помню каких)

Изменено 2 марта пользователем eturrno

[safety]

да, я обратил внимание что в списках установленных программ его (NORTON SECURITY) нет, но многие модули активны, и запускаются через автозапуск.

Хорошо, попробуем зачистить скриптами.

 

Сделайте в Касперском быструю проверку - посмотрим, что он покажет.

 

 

[eturrno]

я сделала изначально заранее 2 проверки и полную и быструю, думала прикреплю их разными файлами, но сохранить их по отдельности не получилось поэтому в одном файле и быстрая и полная

ещё была проблема при сохранении файла дает только один формат (.csv) я в проводник зашла, сжала его, надеюсь сделала как надо

проверка Касперкий.7z

 

возможно, что в файле будут ещё проверки, прикреплю ниже скриншот с Касперского

[safety]

Спасибо.

Сохраните в файлы результаты третьей (в списке), быстрой проверки, и четвертой (полной) проверки. Файлы можно добавить в архив без пароля, и архив загрузить в ваше сообщение.

Отчеты проверю чуть позже сегодня, и подумаем как очистить NORTON SECURITY. Если не найдется фирменный ремувер для него, или он не отработает, тогда зачистим скриптами.

 

По ссылке есть ремувер с оф. сайта

https://support.norton.com/sp/en/us/home/current/solutions/v20240301142500636

 

или с comss

Norton 360 Remover - Скачать бесплатно. Удаление программ

 

Режим запуска выбирайте  только удаление.

 

Удаление продукта Norton (только удаление)
 

Цитата

Скачайте утилиту Norton 360 Remover и сохраните файл на рабочем столе.
Откройте окно загрузок браузера с помощью Ctrl + J.
Дважды щёлкните файл norton_360_remover.exe.
Нажмите Remove.
Подтвердите действие кнопкой Uninstall.
После завершения процесса нажмите Restart Now.

Если удаление было успешным, сделайте новые логи согласно правилам.

 

Проверить отчеты и логи смогу чуть позже, через 1-2 часа.

Изменено 2 марта пользователем safety

[eturrno]

переделала файл с отчетом как Вы и сказали, но как разделить по разным файлам две проверки так и не нашла к сожалению

 По поводу удаления NORTON SECURITY  зашла на сайт с ВПН скачала Norton 360 Remover, сделала все как вы и сказали, удалила, но без успешно (в панеле скрытых значков  так и висит значок NORTON SECURITY) отчет..zipотчет..zipотчет..zipотчет..zip

отчет..zip

Изменено 2 марта пользователем eturrno

[safety]

Судя по последнему отчету из вложения детекта SEPEH нет.

Сделайте новый образ автозапуска в uVS для проверки, что осталось от NORTON SECURITY после его удаления.

Может уже ничего не осталось кроме ярлыков.

[safety]

20 часов назад, eturrno сказал:

Вы и сказали, но как разделить по разным файлам две проверки так и не нашла к сожалению

Это совсем просто. Здесь не нужны инструкции.

Каждый отчет можно сохранить в файл с уникальным именем, поэтому у вас должно было получиться два разных файла, их добавить в один архив. 

Но сейчас это уже не актуально. Актуально создать новый образ автозапуска чтобы проверить нужна ли дополнительная очистка продукта Нортона после его удаления ремувером.

Изменено 3 марта пользователем safety

[eturrno]

да, хорошо поняла, спасибо, щас сделаю отчет и отправлю, до этого времени просто не было 

 

 

вот, все сделала.

по поводу, что в отчетах не видно SEPEH, не знаю в чем проблема. мне Касперский когда я делала проверки его не видел никогда и не просил удалить, но было много случаев, когда Касперский справа снизу открывал окно с оповещением о найденом трояне и кнопкой снизу вылечить, когда нажимала вылечить, он все сканировал, перезапускал ноутбук и после троян как понимаю востанавливался т.к даже после данного процесса, он мог через 2-3 часа если не раньше снова показать это окно, но при проверках не находил. 

Но был момент когда у меня где-то около 2 недель, Касперский об трояне ничего не отправлял, я думала, что все же удалил, но после снова выскочило это окно и я уже решила обратиться за помощью

LAPTOP-K5B6FI1P_2026-03-03_20-30-26_v5.0.4v x64.7z

[safety]

По NORTON SECURITY все на месте,

 

 

сейчас подготовлю скрипт очистки в следующем сообщении.

 

 

[eturrno]

хорошо, спасибо большое :3

 

[safety]

Выполняем очистку систему от остатков NS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE\22.22.9.11\DIMASTER.DLL
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE\22.22.9.11\NSWSCSVC.EXE
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE\22.22.9.11\NORTONSECURITY.EXE
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\NSVST.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\WPCTRLDRV.SYS
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE\22.22.9.11\SYMERR.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\NORTON SECURITY ULTRA\UPGRADE.EXE
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE\22.22.9.11\WSCSTUB.EXE
delref %SystemDrive%\USERS\MAB91\APPDATA\LOCAL\HOST APP SERVICE\ENGINE\HOSTAPPSERVICEUPDATER.EXE

areg

restart

Далее:

после перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 3 марта пользователем safety

[eturrno]

вроде все получилось, по крайней мере ярклык пропал (на панели скрытых значков), но глянула Каспер и там все ещё конфликтует Нортон с Каспером

2026-03-03_21-43-11_log.txt

Изменено 3 марта пользователем eturrno

[safety]

Сделайте новый образ автозапуска в uVS, посмотрим, что осталось от Nortona после чистки.