Перейти к содержанию
Правила раздела

Вирус HEUR Trojan.Win32.Generic

Helpmepls

Автор Helpmepls
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

quiknowledge удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-novainstaller.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-nova.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-codedownloader.exe','');
DelBHO('{A12F6C78-BF3A-46FD-E47D-50CC8342822F}');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitBR171.exe','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
SetServiceStart('qksvc', 4);
DeleteService('qksvc');
DeleteService('WindowsProtectManger');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
TerminateProcessByName('c:\programdata\windowsprotectmanger\wprotectmanager.exe');
QuarantineFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','');
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\171.dll','32');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-6.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7.job','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7','64');
DeleteFile('C:\Windows\system32\Tasks\Re-markit Update','64');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Helpmepls

Helpmepls

Опубликовано
  • Автор
Опубликовано

Вот новые логи 


То что пришло после отправки карантина

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.     Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab.  Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.


KLAN-1692513104


Прикладываю лог полного сканирования МВАМ

info.txt

log.rar

log.txt

анти.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

не архивируйте логи в архивы.

неудобно смотреть.


не приложили лог MBAM

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в MBAM.

приложите новый лог MBAM


Запустив AVZ от имени администратора (по правому клику мыши),

выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
TerminateProcessByName('c:\program files (x86)\activeris antimalware\activerisantimalware.exe');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','');
QuarantineFile('C:\ProgramData\WindowsProtec','');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
QuarantineFile('c:\program files (x86)\activeris antimalware\activerisantimalware.exe','');
QuarantineFile('C:\Users\Артём\AppData\Roaming\Activeris\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\SupTab\*',' ');
QuarantineFile('C:\ProgramData\WindowsProtectManger\*',' ');
QuarantineFile('C:\ProgramData\IePluginServices\*',' ');
QuarantineFile('C:\Program Files (x86)\SupTab\*',' ');
QuarantineFile('C:\ProgramData\Activeris\*',' ');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\*',' ');
QuarantineFile('C:\Windows\system32\acrisnative64.exe',' ');
QuarantineFile('C:\Program Files (x86)\globalUpdate\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\VOPackage\*',' ');
QuarantineFile('C:\Program Files\PCDApp\*',' ');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\*',' ');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
DeleteFile('C:\ProgramData\WindowsProtec','32');
DeleteFile('C:\Windows\Tasks\Re-markit Update.job','64');
DeleteFile('C:\Windows\Tasks\Re-markit_wd.job','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\Activeris AntiMalware_startup','64');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\ActiverisAntiMalware.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\WindowsProtectManger\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\IePluginServices\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Activeris AntiMalware\','* ',true ,' ');
DeleteFile('C:\Windows\system32\acrisnative64.exe','32');
DeleteFileMask('C:\Program Files (x86)\globalUpdate\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\VOPackage\','* ',true ,' ');
DeleteFileMask('C:\Program Files\PCDApp\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Re-markit-soft\','* ',true ,' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\Activeris',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\SupTab',' ');
DeleteDirectory('C:\ProgramData\WindowsProtectManger',' ');
DeleteDirectory('C:\ProgramData\IePluginServices',' ');
DeleteDirectory('C:\Program Files (x86)\SupTab',' ');
DeleteDirectory('C:\ProgramData\Activeris',' ');
DeleteDirectory('C:\Program Files (x86)\Activeris AntiMalware',' ');
DeleteDirectory('C:\Program Files (x86)\globalUpdate',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\VOPackage',' ');
DeleteDirectory('C:\Program Files\PCDApp',' ');
DeleteDirectory('C:\Program Files (x86)\Re-markit-soft',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');DelAutorunByFileName('C:\PROGRA~2\SupTab\SEARCH~2.DLL ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286
O4 - HKLM\..\Run: [DApp] C:\Program Files\PCDApp\start.vbs

Сделайте новые логи по правилам.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sv1gL
      Trojan.Win32.Generic
      Автор Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • noname543
      [РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить
      Автор noname543
      Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.







    • raven34
      Вирус PDM:Trojan.Win32.Generic
      Автор raven34
      Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. 
      После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно.

      UPD: Случайно создал тему два раза. Извините 
       
      CollectionLog-2025.09.15-02.46.zip
    • user21321321321321
      heur: trojan.Multi.genbadur.gena
      Автор user21321321321321
      Доброго времени суток, поймал троян сегодня.
      Первым делом как заметил что пк тормозит проверил через KVRT, троян нашел но он не удаляется, пробовал через доктора тоже находит файлы и все равно не удаляется 


    • segeyAA
      [РЕШЕНО] Не удаляются вирусы Trojan.Win32.Miner.pef и Trojan.Win32.SEPEH.gen
      Автор segeyAA
      Здравствуйте.
       
      KES постоянно ругается на
      и
      "Проверка важных областей" бесконечно висит на 1% и 0 файлов.
      В безопасном режиме прогнал KVRT и CureIT. Они удалили winserv.exe, rdpwrap.dll, appmodule.exe, amd.exe и при повторном сканировании больше ничего подозрительного не видят. При перезагрузке в обычном режиме ничего не изменилось. Данные вирусы также знатно покорежили систему - перестал работать центр обновления (заметил что имена служб bits и wuauserv изменены на bits_bkp и wuauserv_bkp), удаленный рабочий стол, восстановление системы (это из того что заметил). Лог сканирования AutoLogger-а прилагаю.
       
      CollectionLog-2024.04.24-13.37.zip
×
×
  • Создать...