Перейти к содержанию

[РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить


Рекомендуемые сообщения

Опубликовано

Насчёт проверка других компьютеров в сети: один из них я проверил через KVRT и Adwcleaner и там ничего не нашло, я также проверил файлы в таких же папках в которых у меня находится вирус, к другим компьютерам пока что у меня нету доступа, тк они не мои, сейчас все компьютеры выключены и отключены от роутера. Я подключился к нему через wifi со своего ноутбука и минут через 10 вирус опять появился в тех же местах.

SecurityCheck.txt

 

Попытался сбросить роутер до заводских настроек, также не помогло к нему подключен только мой телефон и ноутбук по wifi. Также появляется вирус на пк. Проверил всё компьютеры нигде больше нету вирусов. Только у меня на ноутбуке.
К роутеру после сброса до заводских никакие пк кроме моего ноутбука и телефона не подключались.

 

Я отключился от роутера и полностью выключил его. Подключился к своему телефону к точке доступа и раздал свой мобильный интернет и вирус опять появился на ноутбуке.

Screenshot_13.png

 

Единственно что я понял вирус также переустанавливается после перезапуска ноутбука и перезапуск системы так и длится минут 5.

Опубликовано

Вот ещё видно что сразу же после запуска пк появляются эти файлы

Screenshot_15.png

 

Кажется нашёл. Если отключить в таске эту задачу, то файлы с вирусом не появляются. После того как я принудительно запускаю данный таск, файлы с вирусом сразу появляются

 

Screenshot_17.png

Screenshot_19.png

Screenshot_18.png

Опубликовано

Файл

C:\ProgramData\MicrosoftTool\current\Microsoft.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

Опубликовано

Как-то странно, изменилось имя файла и размер нулевой

image.thumb.png.f699dcf75816dfaa5d4ffc7af06595f0.png

Соберите, пожалуйста, новые логи FRST.txt и Addition.txt

Опубликовано

А почему имя файла Teams.exe, а не Microsoft.exe?

Впрочем, не важно. Делайте новые логи.

Опубликовано

На virustotal я закидываю файл с названием Microsoft.exe не знаю почему там он подписывается как Teams.exe

 

Какие логи мне ещё раз делать ?

Опубликовано
15 минут назад, Sandor сказал:

Соберите, пожалуйста, новые логи FRST.txt и Addition.txt

Эти.

Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {44FB2622-67AD-439E-9B85-0C2D0678B45F} - System32\Tasks\BfeOnServiceStartTypeChange => C:\ProgramData\MicrosoftTool\current\Microsoft.exe  (Нет файла)
    Folder: C:\ProgramData\MicrosoftTool\current\
    Folder: C:\ProgramData\MicrosoftTool\
    2024-03-20 23:40 - 2024-03-22 11:06 - 000000000 ____D C:\ProgramData\MicrosoftTool
    2024-03-20 23:40 - 2024-03-22 00:00 - 000003686 _____ C:\Windows\system32\Tasks\BfeOnServiceStartTypeChange
    2024-03-20 23:40 - 2024-03-20 23:40 - 000584704 _____ (Igor Pavlov) C:\ProgramData\7zr.exe
    2024-03-20 23:40 - 2024-03-20 23:40 - 000000009 _____ C:\ProgramData\lock.ddmb
    2024-03-20 23:40 - 2024-03-20 23:40 - 000000000 ____D C:\Users\serge\AppData\Roaming\Teams
    2024-03-20 23:40 - 2024-03-20 23:40 - 000000000 ____D C:\Users\serge\AppData\Roaming\lzoizxngchztfecq
    HKU\S-1-5-21-526150283-3546483098-1052405504-1001\Software\Classes\exefile:  <==== ВНИМАНИЕ
    HKU\S-1-5-21-526150283-3546483098-1052405504-1001\Software\Classes\.exe: exefile =>  <==== ВНИМАНИЕ
    FirewallRules: [{BF7D364B-366D-41B9-A3ED-A86869162E5B}] => (Allow) C:\Users\serge\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
    FirewallRules: [{3EC10EDF-B0CA-47C1-8B31-29098DC45E4B}] => (Allow) C:\Users\serge\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
    FirewallRules: [{F1BFD285-1A55-4E4A-85F4-C262FE5EC8E7}] => (Allow) C:\Users\serge\Downloads\PassFab_iPhone_Unlocker_windows_v2.6.7.0.exe => Нет файла
    FirewallRules: [{B6171F2E-C195-47BA-BBC6-2F5AFCBA04B2}] => (Allow) C:\Users\serge\Downloads\PassFab_iPhone_Unlocker_windows_v2.6.7.0.exe => Нет файла
    FirewallRules: [{616DEC45-1231-499A-BE77-D80A0AF4CF74}] => (Allow) C:\Users\serge\Downloads\reiboot.exe => Нет файла
    FirewallRules: [{1CEDBC7E-7DC6-4D29-AFA8-82CA19CE1A96}] => (Allow) C:\Users\serge\Downloads\reiboot.exe => Нет файла
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Папку C:\FRST\Quarantine упакуйте с паролем. Выложите на облако, а ссылку и пароль передайте мне личным сообщением.

 

Понаблюдайте за поведением системы.

Опубликовано (изменено)

Залил на DropBox
[ссылка]
У меня также есть ссылка на файл который я скачивал и после его запуска появился вирус, скинуть?
Получается теперь можно считать что вируса нету ?

Изменено пользователем Sandor
Убрал ссылку
Опубликовано

Я ведь просил личным сообщением. И вы не дали пароль.

Можете его уже здесь написать.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • den790
      Автор den790
      Здравствуйте! Столкнулся с тем, KES находит зараженный вирусом PDM:Trojan.Win32.Generic исполняемый файл chrome.exe и предлагает его лечить, при лечении удаляет. После перезагрузки компьютера, скачивания и заново установки с офф сайта Google Chrome ситуация через некоторое время повторяется. Dr.Web CureIt в безопасном режиме ничего не нашёл
       
      Результат:     Обнаружено: PDM:Trojan.Win32.Generic
      Объект:     c:\program files\google\chrome\application\chrome.exe
       
      CollectionLog-2022.12.08-15.13.zip
    • Pogodi
      Автор Pogodi
      Здравствуйте!
      Есть ли уже готовый продукт для моей проблемы:
       
      Вaшu файлы были зaшuфpoваны. Чmобы рacшифpоваmь uх, Вам нeобxодимо omпрaвuть код: A297E1C9B9CC9799DEFA|0 нa элекmpoнный адpеc pilotpilot088@gmail.com . Дaлee вы noлyчume вcе нeoбходимые инсmpykцuu. Попыmkи pacшuфрoваmь сaмocтoятельнo не nриведym ни k чeмy, kромe бeзвозвpamнoй nоmеpu uнфopмaцuu. Eслu вы всё жe хoтuтe nоnыmаmьcя, mo предвaриmeльнo cделaйтe peзeрвныe konиu фaйлoв, uнaчe в слyчaе иx uзменeнuя рaсшuфровка cmанeт нeвозмoжной ни nри kакux ycловuях. Ecли вы не noлучuлu оmвеmа по вышeyказaнномy адрeсy в течение 48 чacoв (и moльko в эmoм слyчae!), воспользуйmeсь формoй обрamной связи. Этo мoжнo cделamь двумя сnосoбамu: 1) Cкaчaйтe u ycтановume Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en B адpeсной cmрокe Tor Browser-a ввeдите aдрec: http://cryptsen7fo43rr6.onion/ u нaжмитe Enter. 3aгpузиmcя стpанuца с фopмой обратной cвязu. 2) B любом браyзeре nеpeйдиmе по oдномy uз адрecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A297E1C9B9CC9799DEFA|0 to e-mail address pilotpilot088@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2018.12.13-21.32.zip
×
×
  • Создать...