Перейти к содержанию
Правила раздела

PDM:Trojan.win32/Generic

CURT

От CURT
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

CURT Новичок

CURT

Опубликовано
Опубликовано (изменено)

Доброго времени суток! поймал вирус накачал мне всякой рекламной шняги мейл ру и прочее г. - каспер его нашел, вылечил с перзагрузкой, все нормально. Начинаю работать в барузере через 2 минуты найдена вредносная программа в папке темп - опять перзагрузка и все по новой, продолжает качаться всякая шняга, которую переодически удаляю, полная проверка компьютера с макс защитой не помггает, каспер его не видит поа не начинаю работать в браузере, Прошу прощения прочитал правила сейччас лог загружу

 

да тут уточнение- вирус появляется при рабочем интернете и неважно сижу я в браузере или нет

CollectionLog-2016.04.14-13.06.zip

Изменено пользователем CURT
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\CURT\appdata\roaming\x11\a\engine.exe','');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\WinTsks.exe','');
 QuarantineFile('C:\Users\CURT\AppData\Local\Hostinstaller\3668783850_installcube.exe','');
 QuarantineFile('C:\Users\CURT\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 QuarantineFile('C:\Program Files (x86)\QQBrowser\Update\A3438CCE82E971D66D76F04793B2B479\Update\BrowserUpdate.exe','');
 QuarantineFile('C:\ProgramData\Doubleing\PhysDonlab.dll','');
 QuarantineFile('C:\ProgramData\Doubleing\Roundron.dll','');
 DeleteService('tbfd_1_10_0_16');
 QuarantineFile('C:\Windows\system32\drivers\tbfd_1_10_0_16.sys','');
 DeleteService('BugreportW');
 DeleteService('WinSvces');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\WinSvces.exe','');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe','');
 QuarantineFile('C:\Program Files (x86)\WeatherChickn\WeatherChickn.exe','');
 QuarantineFile('C:\ProgramData\SwinpS\WFini.exe','');
 SetServiceStart('WdMan', 4);
 DeleteService('WdMan');
 SetServiceStart('IhPul', 4);
 DeleteService('IhPul');
 SetServiceStart('4e484183279effb371e028816074032e', 4);
 DeleteService('4e484183279effb371e028816074032e');
 QuarantineFile('c:\programdata\swinps\wfini.exe','');
 QuarantineFile('c:\program files (x86)\weatherchickn\weatherchickn.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\tsv\tsvr.exe');
 QuarantineFile('c:\users\curt\appdata\roaming\tsv\tsvr.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\origin\caches\mdm');
 QuarantineFile('c:\users\curt\appdata\roaming\origin\caches\mdm','');
 QuarantineFile('c:\programdata\dchp\dchp.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\cppredistx86.exe');
 QuarantineFile('c:\users\curt\appdata\roaming\cppredistx86.exe','');
 TerminateProcessByName('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe');
 QuarantineFile('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe','');
 DeleteFile('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe','32');
 DeleteFile('c:\users\curt\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('c:\users\curt\appdata\roaming\origin\caches\mdm','32');
 DeleteFile('c:\users\curt\appdata\roaming\tsv\tsvr.exe','32');
 DeleteFile('C:\ProgramData\SwinpS\WFini.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\WinSvces.exe','32');
 DeleteFile('C:\Windows\system32\drivers\tbfd_1_10_0_16.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 DeleteFile('C:\ProgramData\Doubleing\Roundron.dll','32');
 DeleteFile('C:\ProgramData\Doubleing\PhysDonlab.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Browser Updater Task(Core)','64');
 DeleteFile('C:\Program Files (x86)\QQBrowser\Update\A3438CCE82E971D66D76F04793B2B479\Update\BrowserUpdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MdmUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
 DeleteFile('C:\Users\CURT\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteFile('C:\Users\CURT\AppData\Local\Hostinstaller\3668783850_installcube.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\WinTsks.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WinTsks','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\CURT\appdata\roaming\x11\a\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ilia_.7
      PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Zafod
      HEUR:Trojan-Ransom.Win32.Generic
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Anton S
      Шифровальщик HEUR:Trojan-Ransom.Win32.Generic
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • Sv1gL
      Trojan.Win32.Generic
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...