Перейти к содержанию

[РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить


Рекомендуемые сообщения

Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.

Screenshot_3.png

Screenshot_4.png

Screenshot_5.png

Screenshot_6.png

Screenshot_7.png

Screenshot_8.png

Screenshot_9.png

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

  • noname543

    22

  • Sandor

    19

Top Posters In This Topic

Popular Posts

Явных признаков этого не замечено. Но не лишним будет сменить важные пароли.   В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Уд

Хорошо, спасибо за помощь!  

Posted Images

Прикладываю проверку AdwCleaner + Farbar. Также в автозагрузке появились странные приложения, правда я не знаю были ли они там до этого.

Screenshot_1.png

AdwCleaner[S01].txt Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Здравствуйте!

 

Начните, пожалуйста, с отчётов по правилам раздела - Порядок оформления запроса о помощи

 

CollectionLog-2024.03.21-15.30.zip

 

Прямо сейчас данные файлы опять установились в ту папку

Ссылка на сообщение
Поделиться на другие сайты

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

Только что вот kaspersky обнаружил ещё один уже даже в другом расположении. Вот ещё достал код из .bat файла

Screenshot_10.png

Screenshot_11.png

Screenshot_12.png

 

Изменено пользователем Sandor
Убрал вложение
Ссылка на сообщение
Поделиться на другие сайты

Не нужно в открытом доступе публиковать вредоносные скрипты.

У вас компьютер домашний, к локальной сети компьютеров подключен?

Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Sandor сказал:

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

SERR5555_2024-03-21_17-10-40_v4.15.1.7z

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

У вас компьютер домашний, к локальной сети компьютеров подключен?

На этот вопрос ответьте, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

На этот вопрос ответьте, пожалуйста.

Да, подключён к локальной сети

Ну у меня ноутбук который подключён к моему роутеру через wifi, а к нему подключены по lan кабелю ещё 3 компьютера

Изменено пользователем noname543
Ссылка на сообщение
Поделиться на другие сайты

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
    ;---------command-block---------
    delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
    delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
    delref E:\HISUITEDOWNLOADER.EXE
    delref D:\TORRENT
    apply
    
    czoo
    deltmp
    restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, Sandor сказал:

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    
    ;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    OFFSGNSAVE
    zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
    ;---------command-block---------
    delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
    delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
    delref E:\HISUITEDOWNLOADER.EXE
    delref D:\TORRENT
    apply
    
    czoo
    deltmp
    restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Мне нужно из папки zoo отправлять вам что-либо ?

Ссылка на сообщение
Поделиться на другие сайты

Нет, не обязательно. И не нужно полностью цитировать предыдущее сообщение, пишите в нижнем поле быстрого ответа.

Сообщите результат проверки/лечения остальных компьютеров сети.

 

Здесь:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • den790
      От den790
      Здравствуйте! Столкнулся с тем, KES находит зараженный вирусом PDM:Trojan.Win32.Generic исполняемый файл chrome.exe и предлагает его лечить, при лечении удаляет. После перезагрузки компьютера, скачивания и заново установки с офф сайта Google Chrome ситуация через некоторое время повторяется. Dr.Web CureIt в безопасном режиме ничего не нашёл
       
      Результат:     Обнаружено: PDM:Trojan.Win32.Generic
      Объект:     c:\program files\google\chrome\application\chrome.exe
       
      CollectionLog-2022.12.08-15.13.zip
    • Alexey Krikun
      От Alexey Krikun
      Прошу помощи. Зашифрован весь винчестер. Все файлы стали с расширением .jpg
      Прилагаю запароленый архив в котором две папки с оригиналами и зашифроваными файлами.
      Пароль 1
      Если нужно могу прислать сам вирус noputana.exe
      Krikun.zip
    • Pogodi
      От Pogodi
      Здравствуйте!
      Есть ли уже готовый продукт для моей проблемы:
       
      Вaшu файлы были зaшuфpoваны. Чmобы рacшифpоваmь uх, Вам нeобxодимо omпрaвuть код: A297E1C9B9CC9799DEFA|0 нa элекmpoнный адpеc pilotpilot088@gmail.com . Дaлee вы noлyчume вcе нeoбходимые инсmpykцuu. Попыmkи pacшuфрoваmь сaмocтoятельнo не nриведym ни k чeмy, kромe бeзвозвpamнoй nоmеpu uнфopмaцuu. Eслu вы всё жe хoтuтe nоnыmаmьcя, mo предвaриmeльнo cделaйтe peзeрвныe konиu фaйлoв, uнaчe в слyчaе иx uзменeнuя рaсшuфровка cmанeт нeвозмoжной ни nри kакux ycловuях. Ecли вы не noлучuлu оmвеmа по вышeyказaнномy адрeсy в течение 48 чacoв (и moльko в эmoм слyчae!), воспользуйmeсь формoй обрamной связи. Этo мoжнo cделamь двумя сnосoбамu: 1) Cкaчaйтe u ycтановume Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en B адpeсной cmрокe Tor Browser-a ввeдите aдрec: http://cryptsen7fo43rr6.onion/ u нaжмитe Enter. 3aгpузиmcя стpанuца с фopмой обратной cвязu. 2) B любом браyзeре nеpeйдиmе по oдномy uз адрecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A297E1C9B9CC9799DEFA|0 to e-mail address pilotpilot088@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2018.12.13-21.32.zip

×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.