Перейти к содержанию

HEUR:Trojan.Win32.Generic


Ogyrets

Рекомендуемые сообщения

Касперский пожаловался на вирус и после этого постоянно пишет сообщения типа "загрузка вредоносного объекта запрещена".Полная проверка результатов не дает.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

выполните скрипт в AVZ

 

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('=.exe','');
QuarantineFile('c:\windows\system32\4988e912.exe','');
DeleteFile('=.exe');
DeleteFile('c:\windows\system32\4988e912.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
RebootWindows(true);
end.

 

Комп перезагрузится

выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html

 

IP - адреса ваши?: 109.170.0.3,109.170.46.3 195.225.130.2,195.225.131.2

Которые не ваши - профиксьте в Хиджак:

Которые ваши - не трогайте, иначе собьёте настройки соединения.

 

О17 - HKLM\System\CCS\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 195.225.130.2,195.225.131.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS4\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не трогайте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Повторите логи AVZ и HJT

Изменено пользователем MotherBoard
Ссылка на комментарий
Поделиться на другие сайты

Выполнил скрипт, quarantine.zip отправил по форме. IP адреса мои.Один старый - пофиксил, второй используется сейчас.

 

mbam_log_2010_10_04__18_02_57_.txt C:\WINDOWS\hosts (Trojan.Agent) -> Not selected for removal. не знаю можно ли удалять этот файл.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

не знаю можно ли удалять этот файл.

можно. удалится новым скриптом.

Вам онлайн-покеры (Party Poker и Poker Stove) на компьютере нужны? Если нет, деинсталлируйте через "установка / удаление программ".

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\hosts','');
QuarantineFile('qphuqro.sys','');
DeleteFile('C:\WINDOWS\hosts');
DeleteFile('qphuqro.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если размер карантина превышает 1,5 мегабайта, отправьте карантин по электронной почте на адрес "newvirus@kaspersky.com".

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • failkey
      От failkey
      Не знаю как удалить Трояны. Остаются даже после восстановления винды (именно откат на несколько дней) . Касперский тоже не справляется
    • ГГеоргий
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Zafod
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Anton S
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • Sv1gL
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...