Перейти к содержанию

[РЕШЕНО] MEM:Trojan.win32.Sepeh.gen не удаляется


Рекомендуемые сообщения

Здравствуйте! Знаю, что тут много кто уже лечил этот вирус. 
Отдавал компьютер на переустановку виндоус, новый жёсткий диск. Мне установили ещё много разных программ, но сам вирус появился позже. Есть подозрение, что принесли на флешке с работы, т.к. флешка тоже была заражена чем-то. Касперский находит, его в памяти, но появляется снова. Доктор веб Cureit не видит. Помогите, пожалуйста, вылечить.

CollectionLog-2021.10.29-20.23.zip

Изменено пользователем yevgeniy_bulin
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

Удалите IObit Uninstaller через установку программ в панели управления.
 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, SQ сказал:

Здравствуйте,

 

Удалите IObit Uninstaller через установку программ в панели управления.
 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Здравствуйте! Вот, сделал

DESKTOP-1OGUJPT_2021-10-30_15-41-17_v4.11.12.zip

Ссылка на сообщение
Поделиться на другие сайты

В логах замечен только один файл с подозрительной репутацией CPLDAPU.EXE, но не похоже на вредоносный.  
Также если ориентироваться на файл xtajit.dll, то скорее всего вы использовали активатор.
 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, SQ сказал:

В логах замечен только один файл с подозрительной репутацией CPLDAPU.EXE, но не похоже на вредоносный.  
Также если ориентироваться на файл xtajit.dll, то скорее всего вы использовали активатор.
 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Благодарю! 
Вообще сегодня этот вирус нигде не вылазил. Ни Каспер ни кто другой не предупреждал. Может как-то получилось удалить с помощью Malware. IObit удалил.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Возможно антивирус реагировал на активатор, который Defender удалил:

Windows Defender:
================
Date: 2021-10-25 12:32:53
Description: 
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0
Имя: HackTool:Win32/AutoKMS
ИД: 2147685180
Серьезность: Высокий
Категория: Программное средство
Путь: file:_C:\Windows\AAct_Tools\AAct.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-1OGUJPT\USER
Название процесса: C:\Windows\explorer.exe
Версия службы анализа безопасности: AV: 1.351.1013.0, AS: 1.351.1013.0, NIS: 1.351.1013.0
Версия подсистемы: AM: 1.1.18600.4, NIS: 1.1.18600.4

 

Обратите внимание, что не рекомендуется использовать более одного антивируса, оставьте в системе только один и удалите другой.
 

AV: Norton Security (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Norton Security (Enabled - Up to date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}

AV: Norton Security (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
FW: Norton Security (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
FW: Norton Security (Enabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FW: Norton Security (Enabled) {6BFC5632-188D-B806-D13E-C607121B42A0}

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-749652647-2542495173-3199842006-1001\...\Policies\Explorer: [] 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    2021-10-29 14:35 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\LocalLow\IObit
    2021-10-29 14:34 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\Roaming\IObit
    2021-10-29 14:34 - 2021-10-29 14:35 - 000000000 ____D C:\ProgramData\IObit
    2021-10-29 14:34 - 2021-10-29 14:34 - 000000000 ____D C:\Program Files (x86)\IObit
    File: C:\Program Files (x86)\psiphon3.exe
    File: C:\Windows\System32\sethc.exe
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [167]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [430]
    FirewallRules: [TCP Query User{FD34C461-4457-4FF8-9A62-82BCC88E6C82}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
    FirewallRules: [UDP Query User{BBF85025-21C2-4125-B919-95640B447694}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
16 minutes ago, SQ said:

Закройте и сохраните все открытые приложения.

  1. Выделите следующий код::
    
    
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-749652647-2542495173-3199842006-1001\...\Policies\Explorer: [] 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    2021-10-29 14:35 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\LocalLow\IObit
    2021-10-29 14:34 - 2021-10-29 14:36 - 000000000 ____D C:\Users\USER\AppData\Roaming\IObit
    2021-10-29 14:34 - 2021-10-29 14:35 - 000000000 ____D C:\ProgramData\IObit
    2021-10-29 14:34 - 2021-10-29 14:34 - 000000000 ____D C:\Program Files (x86)\IObit
    File: C:\Program Files (x86)\psiphon3.exe
    File: C:\Windows\System32\sethc.exe
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [167]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [430]
    FirewallRules: [TCP Query User{FD34C461-4457-4FF8-9A62-82BCC88E6C82}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
    FirewallRules: [UDP Query User{BBF85025-21C2-4125-B919-95640B447694}\\dellpc\1_drivers\sdi_x64_r2009.exe] => (Block) \\dellpc\1_drivers\sdi_x64_r2009.exe => Нет файла
    End::

     

  2. Скопируйте выделенный текст (правой кнопкой - Копировать).
  3. Запустите FRST/FRST64 (от имени администратора).
  4. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  5. Обратите внимание, что компьютер будет возможно перезагружен.

Понял. Простите, а куда вставить этот текст?

Ссылка на сообщение
Поделиться на другие сайты
7 minutes ago, yevgeniy_bulin said:

Понял. Простите, а куда вставить этот текст?

Никуда вставлять не нужно текст, пожалуйста следуйте инструкциям.

Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста, что с проблемой? Согласно логам на вашем компьютере нет вредоносного ПО.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, SQ сказал:

Уточните пожалуйста, что с проблемой? Согласно логам на вашем компьютере нет вредоносного ПО.

Пока ничего) Сегодня ничего подозрительного не было. Скорее всего ушло всё) Либо в результате действий, либо какой-то антивирус удалил его. Спасибо большое за помощь!

Ссылка на сообщение
Поделиться на другие сайты

Всегда рады помочь.

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, SQ сказал:

Всегда рады помочь.

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Ознанакомьтесь со следующей информацией

 

-------------------------- [ SecurityUtilities ] --------------------------
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.95.0.4638.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Glary Utilities 5.175 v.5.175.0.203 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
на этом всё!

Ссылка на сообщение
Поделиться на другие сайты
49 минут назад, SQ сказал:

Ознанакомьтесь со следующей информацией

 

-------------------------- [ SecurityUtilities ] --------------------------
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.95.0.4638.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Glary Utilities 5.175 v.5.175.0.203 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
на этом всё!

Спасибо большое!

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Saeron
      От Saeron
      Здравствуйте, не удаляется вирус trojan.win32.sepeh.gen
      CollectionLog-2020.12.30-19.15.zip
    • truesilent
      От truesilent
      Он начал ползти по всей конторе! кто притащил неизвестно но и не в этом суть.
      как быть ? требуется срочная помощь.
       
      так же был обнаружен win32.Perkiler.vho
       
    • Андрей_
      От Андрей_
      Добрый вечер! Помогите пожалуйста удалить вирус trojan.win32.sepeh.gen. После быстрой проверки KIS находит этот вирус. Провожу лечение, а при следующей проверке он снова появляется в памяти компьютера.
      CollectionLog-2020.12.23-22.05.zip
    • Devover
      От Devover
      Помогите удалить неопытному пользователю trojan.win32.sepeh.gen который засел в системной памяти.
    • Виктор Тучков
      От Виктор Тучков
      Здравствуйте.
      На ПК установлен KES 10. Выгружал его по необходимости на пару часов. За это время успел словить Трояна mem:trojan.win32.sepeh.gen. Сидит в памяти, не удаляется. 
      Прикрепляю логи.
      Помогите, плиз.
      CollectionLog-2018.12.04-09.38.zip

×
×
  • Создать...