Перейти к содержанию

[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна


Рекомендуемые сообщения

Опубликовано

Хорошо, в автозапуске уже ничего нет от Norton

сделаем окончательную зачистку:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\ASRES.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\AVPAPP32.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\BUPROV.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\BUUI.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\CLTRES.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\COACTMGR.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\ENGINE32\22.22.9.11\BUSHELL.DLL
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\IMAGES\CSSBASE.DLL
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\CSSBASE.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\FWRES.LOC
delall %SystemDrive%\PROGRAM FILES (X86)\NORTONINSTALLER\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NGC\A5E82D02\22.22.9.11\INSTSTUB.EXE
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\BRANDING\22.21.5.49\19\01\ISBRAND.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\NAVLOGV.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\NCPUI.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\NCWRES.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\NPCTRAY.LOC
delall %Sys32%\DRIVERS\NGCX64\1616090.00B\NSVST.SYS
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\SQRES.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\UIALERT.LOC
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\UIMAIN.LOC
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\NORTON SECURITY ULTRA\UPGRADE.EXE
delall %SystemDrive%\PROGRAM FILES\NORTON SECURITY\MUI\22.22.9.11\19\01\WPCMPNT.LOC
delall %Sys32%\DRIVERS\NGCX64\1616090.00B\WPCTRLDRV.SYS
deldir %SystemDrive%\PROGRAM FILES\NORTON SECURITY
restart

Далее:

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля

Опубликовано

я все это позже сделаю через 8-10 часов, и вам отправлю. Просто нет сейчас времени и появится возможность только через 8-10 часов

Опубликовано (изменено)

Хорошо, я проверю новые логи уже завтра. +4 MSK Главное что все работает как надо. Осталось всего несколько небольших проверок и возможно обновлений ПО.

Изменено пользователем safety
Опубликовано (изменено)

не смогла сделать FRST скачала две версии ни одна не подходит

все остальное получилось

Снимок экрана 2026-03-04 095657.png

2026-03-04_09-43-14_log.txt

отвечаю достаточно редко, за это извиняюсь времени почти нет, только сегодня так выпало, что свободные пару часов есть. Время свободное только поздно вечером есть, +9 МСК

Изменено пользователем eturrno
Опубликовано

Что то еще осталось в системе, видим о логу, что блокируется удаление ключей из реестра.

 

Пробуйте из безопасного режима системы собрать логи FRST.

Опубликовано

@eturrno, скачайте утилиту с "зеркала", там обновилась версия.

Опубликовано

Продолжаем очистку системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AV: Norton Security Ultra (Disabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
FW: Norton Security Ultra (Disabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
ShellIconOverlayIdentifiers: [  OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ShellIconOverlayIdentifiers: [  OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ShellIconOverlayIdentifiers: [  OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [  OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ContextMenuHandlers1: [BUContextMenu] -> {F7CAA2A1-67A2-44BB-B20F-202FD8EB1DAB} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ContextMenuHandlers6: [BUContextMenu] -> {F7CAA2A1-67A2-44BB-B20F-202FD8EB1DAB} => C:\Program Files\Norton Security\Engine\22.22.9.11\buShell.dll -> Нет файла
ContextMenuHandlers6: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => C:\Program Files\Norton Security\Engine\22.22.9.11\NavShExt.dll -> Нет файла
FirewallRules: [{30A0A72E-3F25-43FF-B1A8-2F53AEE7393E}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [{54B2CB62-D7CE-4E15-BF06-ADC2984700AE}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{EC58816F-7A4C-4A6B-BEA9-37A150DA58DA}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{2FA524C8-2473-4BEC-A575-01EC670EA8C1}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{7E2F21A6-A66D-41F0-A4FF-D567EBF1B563}] => (Allow) C:\Users\mab91\AppData\Local\Programs\Opera\opera.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

Добавьте новый образ автозапуска в uVS для контроля.

Опубликовано

Какие проблемы в работе системы остались после текущей очистки?

Опубликовано (изменено)

вроде больше никаких проблем в работе системы не наблюдаю, по крайней мере сейчас все нормально

если это все и система очищена, то большое спасибо за помощь :3

 

Изменено пользователем eturrno
Опубликовано (изменено)

Возможно, что часть драйверов еще осталась от Symantec, но боюсь что их удаление может затронуть работу сети. Рискнем? :).

 

 

  • NGCX64  специализированный исполняемый файл, который в основном связан с программой Norton Security. Он играет важную роль в возможностях защиты в реальном времени, фокусируясь на сканировании и изоляции потенциально вредных приложений и файлов, которые могут угрожать безопасности компьютера. Некоторые функции ngcx64:
    • сканирование файлов и приложений при доступе к ним;
    • мониторинг поведения — обнаружение подозрительной активности на основе поведения программ, а не только выявление известных сигнатур вредоносного ПО;
    • изоляция угроз — при обнаружении угрозы ngcx64 помогает немедленно изолировать вредный модуль, чтобы предотвратить дальнейшее повреждение;
    • оптимизация системы — когда ngcx64 идентифицирует ненужные файлы или приложения, вызывающие потенциальные конфликты, он может инициировать сканирования, чтобы помочь пользователям оптимизировать операционную среду.

 

image.png

Изменено пользователем safety
Опубликовано

если затронет работу сети, то что будет?  инет замедлится? Если просто инет замедлится, то именно на этом пк или в целом вся сеть провайдера?

 

Ну, если там не сильно сеть может пострадать, то рискнем конечно

Опубликовано (изменено)

Хорошо, попробуем.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS c перезагрузкой системы

;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\NORTONDATA\22.21.5.49\DEFINITIONS\BASHDEFS\20220315.011\BHDRVX64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\CCSETX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\SYMANTEC SHARED\EENGINE\EECTRL64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\SYMANTEC SHARED\EENGINE\ERASERUTILREBOOTDRV.SYS
delref %SystemDrive%\PROGRAM FILES\NORTON SECURITY\NORTONDATA\22.21.5.49\DEFINITIONS\IPSDEFS\20220315.061\IDSVIA64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\IRONX64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\SRTSP64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\SRTSPX64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\SYMEFASI64.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\SYMELAM.SYS
delref %Sys32%\DRIVERS\SYMEVENT64X86.SYS
delref %Sys32%\DRIVERS\NGCX64\1616090.00B\SYMNETS.SYS
apply

areg

winsockreset
restart

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Если после перезагрузки системы возникнет проблема с выходом в Интернет:

Цитата

 

Запускаем cmd.exe от имени Администратора

набираем команду:

 

netsh winsock reset catalog

 

нажимаем Enter

 

возможно будет необходима перезагрузка системы.

 

Напишите по результату, как работает система после последнего скрипта очистки.

 

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
×
×
  • Создать...