Перейти к содержанию
Правила раздела

Вирус HEUR Trojan.Win32.Generic

Helpmepls

От Helpmepls
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

quiknowledge удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-novainstaller.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-nova.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-codedownloader.exe','');
DelBHO('{A12F6C78-BF3A-46FD-E47D-50CC8342822F}');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitBR171.exe','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
SetServiceStart('qksvc', 4);
DeleteService('qksvc');
DeleteService('WindowsProtectManger');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
TerminateProcessByName('c:\programdata\windowsprotectmanger\wprotectmanager.exe');
QuarantineFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','');
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\171.dll','32');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-6.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7.job','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7','64');
DeleteFile('C:\Windows\system32\Tasks\Re-markit Update','64');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты
Helpmepls Новичок

Helpmepls

Опубликовано
  • Автор
Опубликовано

Вот новые логи 


То что пришло после отправки карантина

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.     Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab.  Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.


KLAN-1692513104


Прикладываю лог полного сканирования МВАМ

info.txt

log.rar

log.txt

анти.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в MBAM.

приложите новый лог MBAM


Запустив AVZ от имени администратора (по правому клику мыши),

выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
TerminateProcessByName('c:\program files (x86)\activeris antimalware\activerisantimalware.exe');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','');
QuarantineFile('C:\ProgramData\WindowsProtec','');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
QuarantineFile('c:\program files (x86)\activeris antimalware\activerisantimalware.exe','');
QuarantineFile('C:\Users\Артём\AppData\Roaming\Activeris\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\SupTab\*',' ');
QuarantineFile('C:\ProgramData\WindowsProtectManger\*',' ');
QuarantineFile('C:\ProgramData\IePluginServices\*',' ');
QuarantineFile('C:\Program Files (x86)\SupTab\*',' ');
QuarantineFile('C:\ProgramData\Activeris\*',' ');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\*',' ');
QuarantineFile('C:\Windows\system32\acrisnative64.exe',' ');
QuarantineFile('C:\Program Files (x86)\globalUpdate\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\VOPackage\*',' ');
QuarantineFile('C:\Program Files\PCDApp\*',' ');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\*',' ');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
DeleteFile('C:\ProgramData\WindowsProtec','32');
DeleteFile('C:\Windows\Tasks\Re-markit Update.job','64');
DeleteFile('C:\Windows\Tasks\Re-markit_wd.job','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\Activeris AntiMalware_startup','64');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\ActiverisAntiMalware.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\WindowsProtectManger\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\IePluginServices\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Activeris AntiMalware\','* ',true ,' ');
DeleteFile('C:\Windows\system32\acrisnative64.exe','32');
DeleteFileMask('C:\Program Files (x86)\globalUpdate\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\VOPackage\','* ',true ,' ');
DeleteFileMask('C:\Program Files\PCDApp\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Re-markit-soft\','* ',true ,' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\Activeris',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\SupTab',' ');
DeleteDirectory('C:\ProgramData\WindowsProtectManger',' ');
DeleteDirectory('C:\ProgramData\IePluginServices',' ');
DeleteDirectory('C:\Program Files (x86)\SupTab',' ');
DeleteDirectory('C:\ProgramData\Activeris',' ');
DeleteDirectory('C:\Program Files (x86)\Activeris AntiMalware',' ');
DeleteDirectory('C:\Program Files (x86)\globalUpdate',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\VOPackage',' ');
DeleteDirectory('C:\Program Files\PCDApp',' ');
DeleteDirectory('C:\Program Files (x86)\Re-markit-soft',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');DelAutorunByFileName('C:\PROGRA~2\SupTab\SEARCH~2.DLL ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286
O4 - HKLM\..\Run: [DApp] C:\Program Files\PCDApp\start.vbs

Сделайте новые логи по правилам.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mapuo__
      HEUR:Trojan.Win32.Generic
      От Mapuo__
      Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

      CollectionLog-2025.02.04-09.33.zip
    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      От Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
    • user01221
      Trojan.Win32.Hosts2.gen
      От user01221
      Решил проверить компьютер Kaspersky Virus Removal Tool, файл не лечится, после удаления появился сноваCollectionLog-2025.02.01-22.57.zip
      CollectionLog-2025.02.01-22.57.zip
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      От rottingcorpse
      fff.zip
    • koshelev_forwor
      Trojan.Win32.SEPEH.gen
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
×
×
  • Создать...