Перейти к содержанию

Обнаружено: HEUR:Trojan.Win32.Generic ,Trojan.Win32.Staser.fv не могу справиться


Tatiana P.

Рекомендуемые сообщения

Собственно вопрос, троян обнаружен. Антивирус (KIS 2013) только ругается, на постоянное обращение других программ к зараженному файлу,

 

как то так-

browserdefender.dll      Обнаружено: HEUR:Trojan.Win32.Generic 15.09.2013 15:23:02 C:\documents and settings\all users\application data\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\

или вот так 

dc2.exe Обнаружено: Trojan.Win32.Staser.fv 15.09.2013 14:40:40 C:\recycler\s-1-5-21-1960408961-1965331169-1801674531-1005\

но не в карантин их не помещает и не удаляет.. При попытке удалить вручную, "отсутствие прав доступа" (учетная запись с правами администратора).

 

Помогите,пожалуйста!

 

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\documents and settings\татьяна новый\application data\babsolution\shared\enhancednt.dll','');
 QuarantineFile('c:\progra~1\browse~2\sprote~1.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe','');
 DeleteService('BrowserDefendert');
 QuarantineFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll','');
 DeleteFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe','32');
 DeleteFile('c:\progra~1\browse~2\sprote~1.dll','32');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\BrowserDefender', '*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\BrowserDefender');
DeleteFileMask('c:\progra~1\browse~2', '*', true);
DeleteDirectory('c:\progra~1\browse~2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Сделала кк сказали.Пришел вот такой ответ-

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

bcqr00001.dat,
bcqr00002.dat,
BrowserDefender.exe,
enhancednt.dll,
sprote~1.dll

No malicious code were found in these files.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

Ссылка на комментарий
Поделиться на другие сайты

приложите лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=22250

 

приложите лог полного сканирования MBAM

http://safezone.cc/forum/showthread.php?t=16050


лог Hijackthis приложен старый. и вместо него по правилам требуется 2 лога RSIT

Ссылка на комментарий
Поделиться на другие сайты

запустите ещё раз MBAM на полную проверку и удалите всё, кроме:

Объекты реестра обнаружены
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д
Обнаруженные файлы:

C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято.
C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято.

новый лог приложите.

 

После окончания работы MBAM запустите ещё раз AdwCleaner и после окончания поиска нажмите Clean

новый лог приложите.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

 


запустите ещё раз MBAM на полную проверку и удалите всё, кроме:

 

Объекты реестра обнаружены HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д Обнаруженные файлы: C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято. C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято.

 

новый лог приложите.


 

 


заново поставлю проверять MBAMом и лог пришлю

 

между "проверять" и "пришлю" будет ещё стадия лечения.


http://safezone.cc/forum/showpost.php?p=134172&postcount=2

Ссылка на комментарий
Поделиться на другие сайты

Понятно, что и лечить тоже . Что вышло прилагаю. Однако, в половине учетных записей при загрузке пропали ВСЕ иконки с рабочего стола.(

 

 

 


запустите ещё раз MBAM на полную проверку и удалите всё, кроме:

 

Объекты реестра обнаружены HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д Обнаруженные файлы: C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято. C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято.

 

новый лог приложите.


 

 


заново поставлю проверять MBAMом и лог пришлю

 

между "проверять" и "пришлю" будет ещё стадия лечения.


http://safezone.cc/forum/showpost.php?p=134172&postcount=2

 

 

protection-log-2013-09-18.txt

AdwCleanerR2.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vltr
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • GlibZabiv
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • Шораан
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • AleksandrNeiman
    • Skorpionio
      Автор Skorpionio
      CollectionLog-2025.07.28-14.18.zipХотел скачать fallout 4, вместе с ним скачал вирус. Начал лечение с перезагрузкой, после включения касперский начал жаловаться на файл, который расположен по этому пути в c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn. После повторной перезагрузки проблема повторяется, такой же путь и файл. Запускал в безопасном режиме и проводил полную проверку, касперский ничего не нашел, также этот файл в папке temp я тоже не находил. В мониторинге активности подобные логи:

      Событие: Обнаружен вредоносный объект
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
      Причина: Базы
      Дата выпуска баз: Сегодня, 28.07.2025 4:49:00

      Событие: Процесс завершен
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Завершен
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: C:\Users\Иван\AppData\Local\Temp\2zvUszGBODCz5KZzRQ7mSDo5Orn
      Имя объекта: setup.exe

      Событие: Объект удален
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Удалено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
×
×
  • Создать...