Перейти к содержанию
Правила раздела

Вирус HEUR Trojan.Win32.Generic

Helpmepls

Автор Helpmepls
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

quiknowledge удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-novainstaller.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-nova.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-codedownloader.exe','');
DelBHO('{A12F6C78-BF3A-46FD-E47D-50CC8342822F}');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitBR171.exe','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
SetServiceStart('qksvc', 4);
DeleteService('qksvc');
DeleteService('WindowsProtectManger');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
TerminateProcessByName('c:\programdata\windowsprotectmanger\wprotectmanager.exe');
QuarantineFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','');
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\171.dll','32');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-6.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7.job','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7','64');
DeleteFile('C:\Windows\system32\Tasks\Re-markit Update','64');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты
Helpmepls

Helpmepls

Опубликовано
  • Автор
Опубликовано

Вот новые логи 


То что пришло после отправки карантина

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.     Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab.  Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.


KLAN-1692513104


Прикладываю лог полного сканирования МВАМ

info.txt

log.rar

log.txt

анти.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в MBAM.

приложите новый лог MBAM


Запустив AVZ от имени администратора (по правому клику мыши),

выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
TerminateProcessByName('c:\program files (x86)\activeris antimalware\activerisantimalware.exe');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','');
QuarantineFile('C:\ProgramData\WindowsProtec','');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
QuarantineFile('c:\program files (x86)\activeris antimalware\activerisantimalware.exe','');
QuarantineFile('C:\Users\Артём\AppData\Roaming\Activeris\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\SupTab\*',' ');
QuarantineFile('C:\ProgramData\WindowsProtectManger\*',' ');
QuarantineFile('C:\ProgramData\IePluginServices\*',' ');
QuarantineFile('C:\Program Files (x86)\SupTab\*',' ');
QuarantineFile('C:\ProgramData\Activeris\*',' ');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\*',' ');
QuarantineFile('C:\Windows\system32\acrisnative64.exe',' ');
QuarantineFile('C:\Program Files (x86)\globalUpdate\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\VOPackage\*',' ');
QuarantineFile('C:\Program Files\PCDApp\*',' ');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\*',' ');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
DeleteFile('C:\ProgramData\WindowsProtec','32');
DeleteFile('C:\Windows\Tasks\Re-markit Update.job','64');
DeleteFile('C:\Windows\Tasks\Re-markit_wd.job','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\Activeris AntiMalware_startup','64');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\ActiverisAntiMalware.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\WindowsProtectManger\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\IePluginServices\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Activeris AntiMalware\','* ',true ,' ');
DeleteFile('C:\Windows\system32\acrisnative64.exe','32');
DeleteFileMask('C:\Program Files (x86)\globalUpdate\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\VOPackage\','* ',true ,' ');
DeleteFileMask('C:\Program Files\PCDApp\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Re-markit-soft\','* ',true ,' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\Activeris',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\SupTab',' ');
DeleteDirectory('C:\ProgramData\WindowsProtectManger',' ');
DeleteDirectory('C:\ProgramData\IePluginServices',' ');
DeleteDirectory('C:\Program Files (x86)\SupTab',' ');
DeleteDirectory('C:\ProgramData\Activeris',' ');
DeleteDirectory('C:\Program Files (x86)\Activeris AntiMalware',' ');
DeleteDirectory('C:\Program Files (x86)\globalUpdate',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\VOPackage',' ');
DeleteDirectory('C:\Program Files\PCDApp',' ');
DeleteDirectory('C:\Program Files (x86)\Re-markit-soft',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');DelAutorunByFileName('C:\PROGRA~2\SupTab\SEARCH~2.DLL ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286
O4 - HKLM\..\Run: [DApp] C:\Program Files\PCDApp\start.vbs

Сделайте новые логи по правилам.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • woi12
      [РЕШЕНО] Не удаляется вирус Trojan.win32.Agentb.adkr
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • AleksandrNeiman
      [РЕШЕНО] PDM:Trojan.WiPDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузкиn32.Generic востанавливается после лечения и перезагрузки
      Автор AleksandrNeiman
      Windows 11 PRO 64
×
×
  • Создать...