Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

MEM:Trojan.Win32.SEPEH.gen

ignatknyazzef

Автор ignatknyazzef
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ignatknyazzef

ignatknyazzef

Опубликовано
Опубликовано

Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 

CollectionLog-2022.01.09-14.00.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

MediaGet

vnktoаktе_DJ

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 DeleteSchedulerTask('nslooksvc32');
 DeleteSchedulerTask('nslooksvc32.job');
 DeleteSchedulerTask('nslooksvc64');
 DeleteSchedulerTask('nslooksvc64.job');
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {3ea1b734-9cbd-11e9-8a11-7085c2a690fa} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {69199d82-8391-11ea-8bbf-7085c2a690fa} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\...\MountPoints2: {69199da5-8391-11ea-8bbf-7085c2a690fa} - "E:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPyzekd5WAte4qFZNcevrV94XwHqljPlkE8SQxnr1WcznoqNerFFFfS6qx1ahjgwUNE5-TFZrpyBJbNM3Ay0Pr1Fwtjxmg6-pI_PanPeNkw-8d2guwZgpUUConse775cwYxUfoBTeCKkXFeE9fgBf7_r7YHiDdAz&q={searchTerms}
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnplhahbcoldbildffdchneaepapccbn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\Software\Classes\regfile: regedit.exe "%1" <==== ВНИМАНИЕ
HKU\S-1-5-21-2670908323-3302664642-2434207275-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPyzekd5WAte4qFZNcevrV94XwHqljPlkE8SQxnr1WcznoqNerFFFfS6qx1ahjgwUNE57p6IRMZCUU6jZLyuN7MOjRxdlu0jKkheJRIyiaObfFmDYlfBWDYsiT6KFY3smNj7gIRDIlClyT1m0mzb8GNqnS9vp-k_&q={searchTerms}
FirewallRules: [{F78B1402-D0EB-4ADB-8CCC-82FBFEE8E976}] => (Allow) LPort=25565
FirewallRules: [{D39AD068-41CA-4AAA-B139-629EC4BC5149}] => (Allow) LPort=25565
FirewallRules: [{CDC7F2ED-6EE7-42F0-884E-4B15CC0AAE9C}] => (Allow) LPort=25565
FirewallRules: [{E0983F4F-2DE5-4036-BB0A-F57DC77F8F90}] => (Allow) LPort=25565
FirewallRules: [{020F5208-07D5-4FB2-AB33-9ED73ACAC18E}] => (Allow) LPort=25565
FirewallRules: [{D55053AB-B693-489C-A543-225CBE9E0B68}] => (Allow) LPort=80
FirewallRules: [{F97B700B-AF00-4466-93CF-BD1A353237F8}] => (Allow) LPort=27015
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Ещё один скрипт, пожалуйста, выполните:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions|dll
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|D:\Games\ds\stalcraft
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ExLoader
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.7007
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.26115
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.7942
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local\Temp\Rar.12382
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|rundll32.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Устранить средствами самого антивируса с перезагрузкой пробовали?

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. В завершение:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Leandorr
      Зависание проводника после простоя ~10 мин на мощном железе и с Kasp premium
      Автор Leandorr
      Приветствую! Столкнулся с такой проблемой странной, уже все перепробовал.
      В общем суть — после некоторого простоя проводник умирает почти намертво, то есть окна открытые работают (опера, тг и тд) и можно даже продолжать пользоваться всем, но ничего больше не открывается, грузится очень долго, в некоторые разы получается что-то запустить, в некоторые всё виснет наглухо. И также выключить/перезагрузить компьютер не получается. Иногда удается через win+x завершить работу, но идет бесконечное выключение системы, периодически вылетает, что вот это приложение не дает завершиться системе (5AEA657D-F3F5-4BD8-BFE9-A4B537FA24C3).

      Паттерн такой, что всё может отлично работать очень долго, но, как будто, после некоторого простоя начинают твориться чудеса. Было замечено в один из разов, когда получилось открыть диспетчер задач огромное количество запущенных процессов powershell, но уже не помню может это я сам пытался их включить в какой-то из разов. Но в этот раз вроде я этого не делал.

      Стоит activation renewal через masgrave, но обновление раз в неделю и логи это подтверждают, поэтому, скорее всего не он. В остальное время всё работет отлично, никаких лагов ничего нет. Но до недавнего времени иногда подвисала система, относительно часто, с тем что появлялся цикличный звук и мышка еле дергалась (рывками и с 4-5fps) и система отмирала через пару секунд и это всё сопроваждалось звуками лагов системы многочисленными подряд. Сейчас прекратилось.

      Относительно недавно был установлен VSCode +  Git Bash + Wispr Flow + Python, Comet. Как будто проблемы начались после этого, точно не скажу. Также стоит zapret, который делает windivert на который Kasp ругается, но не думаю, что он виноват в этом. Я его уже давно не запускал.

      ✅ Что было (не в хронологическом порядке):
      1) Биос был F32, обновил до F33. Есть подозрение, что F32 и предыдущие стояли для rev 1.0, но это не точно. F33 поставил уже 1.1 (может ли это повлиять как то?). VMX и Turboboost Intel были выключени долгое время, недавно включил.
      2) Проверил систему дополнительно Dr Web Cure it + AdwCleaner + Malwarebytes + Kaspersky (полная проверка). Всё было проверено и в безопасном и в обычном режиме. 
      3) Прогнал недолго тесты в AIDA64 проц не тротлит, gpu и память вроде в порядке
      4) Отключал Яндекс Диск, чтобы исключить его влияние 
      5) Почистил автозагрузку от всего лишнего через Reg Organizer, но потом удалил его и потом чистил в Anvir Task Manager
      6) При мониторинге системы через Process Explorer и Anvir ничего особо замечено не было (только последние пару раз использовал)
      7) Убрал галочку на быстрый запуск системы
      8. Подкачка диска стоит только на SSD с системой с авто значением (32gb)
      9) Посмотрел что запускается при простое в taskschd, вроде всё ок
      10) sfc scannow, dtsim, chkdsk - всё делал, всё ок
      11) Обновлен Windows после начала этой проблемы, не до
      12) Делал security check (файл приложил)

      ⚙️Система:
      Gigabyte Z690 rev 1.1
      Intel i5 13600kf
      RTX 4070
      ddr4 32gb 3200
      Windows 11
      Система на nvme samsung evo 1tb (название точно не помню)
      1 HDD на 2tb seagate вроде
      и 1 ssd на 1tb dexp

      🧰Из приложений стоит, которые постоянно работают:
      Fences Stardocks
      ShareX
      Nvidia app
      app center
      sound blaster commander
      яндекс музыка и яндекс диск
      Kasper premium 
      FL Esports
      Ghub
       
      Security check.txt SecurityCheck by glax24 & Severnyj.html
    • Quester1337
      Подозрение на вирус - рат
      Автор Quester1337
      Скачал программу Exloader и чуть упала производительность пк, поэтому есть подозрения, что возможно вирус, тогда есть ли вариант оставить ос и удалить его? или лучше снести виндовс? логи прилагаю.
      CollectionLog-2026.04.13-04.06.zip FRST.txt Addition.txt
    • Vladimir752
      [РЕШЕНО] Trojan:PowerShell/Bynoco.RR!ams
      Автор Vladimir752
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      CollectionLog-2026.04.11-13.59.zip 
      SecurityCheck.txt

    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • Рязанский
      [РЕШЕНО] долго загружается, нет панелей окон и значков (возле часов)
      Автор Рязанский
      поймал вирус, пролечил Dr.Web CureIt!, через некоторое время пропала панель окон, пропали значки, загрузка замедлилась.
      Создал новую учетную запись - дня три работала нормально, затем всё повторилось, как на прежней.
      Есть ещё одна учётка, ограниченная - в ней всё работает.
      Сейчас проверил Kaspersky Virus Removal Tool ничего подозрительного не нашёл.
      В журнале системы ошибки: "Служба "bits" завершена из-за ошибки Не удается найти указанный файл.", "Служба "UsoSvc" завершена из-за ошибки Не удается найти указанный файл.", "Служба "wuauserv" завершена из-за ошибки Не удается найти указанный файл."
      Лог из AutoLogger вложил.
       
      CollectionLog-2026.04.03-22.00.zip
×
×
  • Создать...