Перейти к содержанию
Правила раздела

Вирус HEUR Trojan.Win32.Generic

Helpmepls

От Helpmepls
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

quiknowledge удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-novainstaller.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-nova.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-codedownloader.exe','');
DelBHO('{A12F6C78-BF3A-46FD-E47D-50CC8342822F}');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitBR171.exe','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
SetServiceStart('qksvc', 4);
DeleteService('qksvc');
DeleteService('WindowsProtectManger');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
TerminateProcessByName('c:\programdata\windowsprotectmanger\wprotectmanager.exe');
QuarantineFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','');
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\171.dll','32');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-6.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7.job','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7','64');
DeleteFile('C:\Windows\system32\Tasks\Re-markit Update','64');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты
Helpmepls Новичок

Helpmepls

Опубликовано
  • Автор
Опубликовано

Вот новые логи 


То что пришло после отправки карантина

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.     Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab.  Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.


KLAN-1692513104


Прикладываю лог полного сканирования МВАМ

info.txt

log.rar

log.txt

анти.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в MBAM.

приложите новый лог MBAM


Запустив AVZ от имени администратора (по правому клику мыши),

выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
TerminateProcessByName('c:\program files (x86)\activeris antimalware\activerisantimalware.exe');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','');
QuarantineFile('C:\ProgramData\WindowsProtec','');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
QuarantineFile('c:\program files (x86)\activeris antimalware\activerisantimalware.exe','');
QuarantineFile('C:\Users\Артём\AppData\Roaming\Activeris\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\SupTab\*',' ');
QuarantineFile('C:\ProgramData\WindowsProtectManger\*',' ');
QuarantineFile('C:\ProgramData\IePluginServices\*',' ');
QuarantineFile('C:\Program Files (x86)\SupTab\*',' ');
QuarantineFile('C:\ProgramData\Activeris\*',' ');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\*',' ');
QuarantineFile('C:\Windows\system32\acrisnative64.exe',' ');
QuarantineFile('C:\Program Files (x86)\globalUpdate\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\VOPackage\*',' ');
QuarantineFile('C:\Program Files\PCDApp\*',' ');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\*',' ');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
DeleteFile('C:\ProgramData\WindowsProtec','32');
DeleteFile('C:\Windows\Tasks\Re-markit Update.job','64');
DeleteFile('C:\Windows\Tasks\Re-markit_wd.job','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\Activeris AntiMalware_startup','64');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\ActiverisAntiMalware.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\WindowsProtectManger\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\IePluginServices\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Activeris AntiMalware\','* ',true ,' ');
DeleteFile('C:\Windows\system32\acrisnative64.exe','32');
DeleteFileMask('C:\Program Files (x86)\globalUpdate\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\VOPackage\','* ',true ,' ');
DeleteFileMask('C:\Program Files\PCDApp\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Re-markit-soft\','* ',true ,' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\Activeris',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\SupTab',' ');
DeleteDirectory('C:\ProgramData\WindowsProtectManger',' ');
DeleteDirectory('C:\ProgramData\IePluginServices',' ');
DeleteDirectory('C:\Program Files (x86)\SupTab',' ');
DeleteDirectory('C:\ProgramData\Activeris',' ');
DeleteDirectory('C:\Program Files (x86)\Activeris AntiMalware',' ');
DeleteDirectory('C:\Program Files (x86)\globalUpdate',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\VOPackage',' ');
DeleteDirectory('C:\Program Files\PCDApp',' ');
DeleteDirectory('C:\Program Files (x86)\Re-markit-soft',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');DelAutorunByFileName('C:\PROGRA~2\SupTab\SEARCH~2.DLL ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286
O4 - HKLM\..\Run: [DApp] C:\Program Files\PCDApp\start.vbs

Сделайте новые логи по правилам.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • koshelev_forwor
      Trojan.Win32.SEPEH.gen
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • Александр_38
      [РЕШЕНО] Помогите пожалуйста с удалением вируса MEM:Backdoor.Win32.Insistent.gen и HEUR: Trojan.Win64.Miner.gen
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • snyperlux
      HEUR: Trojan. Multi.GenBadur.genw. После лечения и перезагрузки через некоторое время вновь появляется вирус.
      От snyperlux
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возвращается.

      CollectionLog-2024.10.25-00.43.zip report1.log report2.log
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
×
×
  • Создать...