Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

[РЕШЕНО] HEUR:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen

...,

Автор ...,
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

...,

...,

Опубликовано
Опубликовано

image.png.f955a72c3345b4f57baf298bd92484dc.png Здравствуйте. При сканирование Kaspersky Anti-Virus  выявились несколько вирусов, с половиной из них сам касперский смог справиться, но есть heur:trojan и mem:trojan.win32.sepeh.gen . Касперский не справляется с ними, при лечение пропадает в один момент весь рабочий экран, становится черным и больше ничего не происходит

 

CollectionLog-2026.04.16-15.01.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1.

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2.

Деинсталлируйте нежелательное/устаревшее ПО:

Цитата

Skype, версия 2.2.11

Skype, версия 8.138

uFiler

 

3.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [PenTablet] => C:\Program Files\Pentablet\PenTablet.exe /mini (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-21-3599687248-996986803-2764669816-1002\...\Run: [Skype for Desktop] => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe --autostart (Нет файла)
HKU\S-1-5-21-3599687248-996986803-2764669816-1002\...\Run: [VoicemodV3] => "E:\Voicemod V3\Voicemod.exe" --boot (Нет файла)
Task: {e8692154-dd1f-4c68-83f2-a0a051c14fcc} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {4BBBA0CB-1F20-4677-B8EA-177A4E3A7273} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-11-06] (Microsoft Windows -> Microsoft Corporation) -> "function Local:VFfxMsjsbKnO{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$pRwMvDfgvjmMQF,[Parameter(Position=1)][Type]$IKNidUAeCA)$AruaKHWIMFf=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+''+'f'+''+[Char](108)+''+'e'+''+'c'+''+'t'+''+[Char (запись имеет ещё 5016 символов).
Task: {80263353-28F1-4C41-94E1-C7BC66E9EE4A} - System32\Tasks\Driver Booster Scheduler => "C:\Program Files (x86)\IObit\Driver Booster\12.0.0\Scheduler.exe"  /scheduler (Нет файла) <==== ВНИМАНИЕ
Task: {C17B94F7-1FCF-4E40-9E6C-3119A790AE4A} - System32\Tasks\Driver Booster SkipUAC (Оля) => "C:\Program Files (x86)\IObit\Driver Booster\12.0.0\DriverBooster.exe"  /skipuac (Нет файла) <==== ВНИМАНИЕ
Task: {BCAB9EC5-3131-4C26-9132-9053CB7C4A67} - System32\Tasks\Driver Booster Update => "C:\Program Files (x86)\IObit\Driver Booster\12.0.0\AutoUpdate.exe"  /auto (Нет файла) <==== ВНИМАНИЕ
Task: {F8702C71-5DD3-4E8C-B17D-DBA1B650D2A0} - System32\Tasks\IObit B5Sale (One-time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\b5saleml.exe"  -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/rpop <==== ВНИМАНИЕ
Task: {46780C51-EEC6-487F-8D62-E75CE4C347DB} - System32\Tasks\IObit DB2024B5 (One-Time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\dbrpop.exe"  -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/rpop <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3599687248-996986803-2764669816-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
S2 LGGUIBQW; C:\ProgramData\logocwzloixq\qveokpiepyev.exe [2908968 2026-04-15] (COGNOSPHERE PTE. LTD. -> ) [Файл не подписан] <==== ВНИМАНИЕ
S3 EABackgroundService; "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe" (Нет файла)
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc (Нет файла)
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc (Нет файла)
S3 IncrediBuild BuildCache; "C:\Program Files (x86)\Incredibuild\BuildCacheService.exe" --_service IncrediBuild BuildCache (Нет файла)
S2 Incredibuild CoordinatorService; "C:\Program Files (x86)\Incredibuild\CoordinatorService.exe" --_service Incredibuild CoordinatorService (Нет файла)
S2 Incredibuild_Agent; "C:\Program Files (x86)\Incredibuild\BuildService.exe" (Нет файла)
C:\ProgramData\logocwzloixq\qveokpiepyev.exe
C:\ProgramData\logocwzloixq\
FirewallRules: [{8A8FE3F8-A1A8-4180-AD48-AD04B303FFAB}] => (Allow) LPort=31104
FirewallRules: [{F5BE0D83-D3E0-45A9-9755-9414FF78553C}] => (Allow) LPort=31100
FirewallRules: [{E8CCEF61-EFA2-4A7F-B547-5E193751BE6B}] => (Allow) LPort=8000
FirewallRules: [{821B66D3-C4A5-4212-8209-EC7E1E5B102D}] => (Allow) LPort=50052
FirewallRules: [{7AEB3D2D-E11C-408C-9A24-F67BC890627D}] => (Allow) LPort=31105
FirewallRules: [{68FE86DF-D719-4840-8C1F-BB84852E14CA}] => (Allow) LPort=31106
FirewallRules: [{0E3F2E33-9EEC-4E05-AC59-5CA1A5B33A19}] => (Allow) LPort=31107
FirewallRules: [{61977A77-59F3-4BA7-926C-14F675DB0471}] => (Allow) LPort=31108
FirewallRules: [{072E49D6-DA74-4F60-9705-226EDFB6362B}] => (Allow) LPort=31109
FirewallRules: [{8B0B7DFD-50FA-4060-B194-4C318E0496BE}] => (Allow) LPort=31110
FirewallRules: [{52B132EC-577A-4AE4-B29B-C79066039423}] => (Allow) LPort=31111
FirewallRules: [{64753437-3A96-4C70-8258-1E89251771D5}] => (Allow) LPort=31112
FirewallRules: [{52D89EBF-4DE5-4152-86AF-0E120A99522C}] => (Allow) LPort=31113
FirewallRules: [{12E1647C-24D9-4637-9EDE-FA7275CD6FFF}] => (Allow) LPort=51100
FirewallRules: [{4D024222-EF07-4C5B-9AEE-60BDFD751482}] => (Allow) LPort=12292
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Ещё раз, пожалуйста, соберите отчёты FRST.txt и Addition.txt (прежние можно удалить).

Sandor

Sandor

Опубликовано
Опубликовано

В безопасном режиме (важно!) выполните такой скрипт:

 

  • Выделите следующий код: 
    Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
S2 LGGUIBQW; C:\ProgramData\logocwzloixq\qveokpiepyev.exe [2908968 0] () [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\logocwzloixq\qveokpiepyev.exe
C:\ProgramData\logocwzloixq\
2026-04-16 16:49 - 2026-04-16 17:06 - 000000000 ____D C:\ProgramData\logocwzloixq
2026-04-16 16:19 - 2026-04-16 16:19 - 000000000 _____ C:\Windows\SysWOW64\WFSR.dll
2026-04-16 16:19 - 2026-04-16 16:19 - 000000000 _____ C:\Windows\SysWOW64\wfs.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Теперь сделайте ещё раз быструю проверку антивирусом Касперского (или полную, по желанию) и сообщите результат.

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Подумайте о переходе на актуальную версию системы:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft OneDrive v.23.038.0219.0001 Внимание! Скачать обновления
7-Zip 25.01 (x64) v.25.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Krita (x64) 5.2.6 (git ab3502b) v.5.2.6.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.108.2 Внимание! Скачать обновления
Discord v.1.0.9232 Внимание! Скачать обновления
Zoom Workplace v.6.6.6 (19875) Внимание! Скачать обновления
Telegram Desktop v.6.6.2 Внимание! Скачать обновления
PlanetVPN, версия 2.0 v.2.0 Внимание! Приложение имеет проблемы с конфиденциальностью, рекомендуется его деинсталляция.
uTorrent Web v.1.5.0 Внимание! Клиент сети P2P с рекламным модулем!
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.21 Внимание! Скачать обновления
Yandex v.26.3.2.773 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.147.0.3912.60 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

---------------------------- [ UnwantedApps ] -----------------------------
HighStone 0.1.1 v.0.1.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.
VideoAdsBlocker v.2.0.0.3873 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

 

Читайте Рекомендации после удаления вредоносного ПО

Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • toolshack
      Подозрение на вирусы
      Автор toolshack
      Здравствуйте, что то нагружает диск до 100%, автоматически запускаются браузеры, меню "Пуск" выдает критическую ошибку при его запуске.CollectionLog-2026.04.28-11.37.zip
    • Alex816
      [РЕШЕНО] Adware:Win32/BrowserAssistant Системный антивирус ругается каждый раз при запуске компьютера
      Автор Alex816
      При каждом запуске Windows антивирусник указывает, что находит вредоносное ПО. Удалить не получается. Возможно что-то скачивал и подцепил.

       

      CollectionLog-2026.04.27-12.56.zip
    • Иван5
      Заразил компьютер вирусом
      Автор Иван5
      Компьютер просканировал Kaspersky Virus Removal Tool, логи в Autologger создал. Система у меня windows 10 версии 22H2.
      Мне втерлись в доверие и скинули архив под видом игры. В нем нужно было активировать installer.bat для запуска вируса. После этого запуска перепутались кнопки ПКМ и ЛКМ, а также шалил регистр букв и писал текст "заборчиком". Кроме того, в телеграм(где мне и скинули архив) в группах в которых я состою и оставляю комментарии стал отвечать один и тот же человек, представившись уже в личных сообщениях хакером. Потребовал доступ к моему тг каналу в замен на "таблетку от вируса". Заявил, что вирус прописался глубоко в UEFI, что использует учетную запись администратора и автозапуск нужных ему процессов. ( в диспетчере задач действительно появился странный процесс и несколько процессов без названия от системы с пометкой "null". Я отключил интернет от компьютера, чтобы злоумышленник не рылся в компьютере. Я просканировал компьютер сначала сканером от DR web, потом от Касперского(указал в начале поста).
      Я не знаю, действительно ли вирус прописался в UEFI, в инсталлере был следующий текст:
         
      CollectionLog-2026.04.12-17.48.zip
      Извините, текст вируса копировал из диалога с нейросетью, поэтому там кусочек промта.
      Нейросеть считает что UEFI не был заражен, но допускает что код для заражения сог уже подкачиваться из интернета и в том случае могло такое произойти
    • Astrl
      [РЕШЕНО] заходы в соц сети без авторизации
      Автор Astrl
      Здраствуйте,поймал походу вирусняк причем который мой токен ворует (не факт) на прошлой неделе взломали дискорд и спамили рекламой,а сегодня зашли так-же без токена в вконтакте и спамили рекламой неизвестным мне людям,проверил антивирусами нифига нету,из такого использую запрет,может что-то скачал,прошу экспертов помочь с данной проблемой
      CollectionLog-2026.04.02-21.47.zip
    • nocinnamonpie
      Проблема с центром обновления переименовались службы в конце bkp
      Автор nocinnamonpie
      Здравствуйте Проблема с центром обновления виндовс, не скачиваются файлы, проверила службы, у некоторых из них в конце добавилось bkp. Загрузка цп высокая при открытии диспетчера задач падает. Drewb cureit ничего не нашел.  Видела похожие темы, подскажите пожалуйста, что делать и какие файлы прикреплять.
×
×
  • Создать...