Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

MEM:trojan.win32.sepeh.gen

Stanislavsk1

Автор Stanislavsk1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Stanislavsk1 Новичок

Stanislavsk1

Опубликовано
Опубликовано

Здравствуйте! словил вирус MEM:trojan.win 32.sepeh.gen. Вычитал у вас, что нужно скачать программу Universal Virus Sniffer и сделать полный образ автозапуска uVS.

Все сделал , как по инструкции, лог приложил. помогите пожалуйста решить проблему.

ЛОГ.TXT

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,
 

Приложенный лог не содержит нужно информации.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\1670.py', '');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Stanislavsk1 Новичок

Stanislavsk1

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\1670.py', '');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteFile('C:\Users\Administrator\AppData\Local\Programs\Python\Python36-32\pythonw.exe', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\1670.py', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl1', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'googl2 updat', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'REDE1', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Сделано

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

30 минут назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ждём.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
AlternateDataStreams: C:\WINDOWS\system32\Drivers\iaStorB.sys:com.dropbox.attributes [168]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\iaStorS.sys:com.dropbox.attributes [168]
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Деинсталлируйте скрытый ранее:

Цитата

Avast Update Helper

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пока наблюдаете, проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kapibara
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen
      Автор Kapibara
      Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

      2025-04-11_16-52-36_v4.99.12v x64.7z
    • eosex
      MEM:Trojan.Win32.SEPEH.gen
      Автор eosex
      CollectionLog-2025.03.25-13.20.zip КАК ЖЕ Я УСТАЛ ОТ ЭТОГО ТРОЯНА((
      у всех по 1 их, а у меня их 6, НЕ 1, А 6!!!
      помогите пожалуйста, логи прикрепил, спасите мои нервы..
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • badmemory
      [РЕШЕНО] Вирус MEM:Trojan.Win32.SEPEH.gen и MEM:Trojan.Multi.Agent.gen
      Автор badmemory
      Обнаружил у себя 2 файла этого вируса, устранить не получается
       
    • Damirks
      Удаление вируса MEM:Trojan.Win32.SEPEH.gen
      Автор Damirks
      CollectionLog-2025.03.04-12.43.zip
      Здравствуйте, поймал вирус SEPEH.GEN, пробовал удалить касперским не получается, устраняет перезагружается и снова его находит. Показывает его в приложении Vmix64.exe на обоих рабочих машинах одновременно прилетел этот вирус. Компьютеры подключены к локальной сети думаю оттуда и прилетел. в браузере с этого компа особо не работаем. CureIt ничего не находит
×
×
  • Создать...