PDM:Trojan.win32/Generic

14 апреля, 2016

Доброго времени суток! поймал вирус накачал мне всякой рекламной шняги мейл ру и прочее г. - каспер его нашел, вылечил с перзагрузкой, все нормально. Начинаю работать в барузере через 2 минуты найдена вредносная программа в папке темп - опять перзагрузка и все по новой, продолжает качаться всякая шняга, которую переодически удаляю, полная проверка компьютера с макс защитой не помггает, каспер его не видит поа не начинаю работать в браузере, Прошу прощения прочитал правила сейччас лог загружу

да тут уточнение- вирус появляется при рабочем интернете и неважно сижу я в браузере или нет

CollectionLog-2016.04.14-13.06.zip

Изменено 14 апреля, 2016 пользователем CURT

14 апреля, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\CURT\appdata\roaming\x11\a\engine.exe','');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\WinTsks.exe','');
 QuarantineFile('C:\Users\CURT\AppData\Local\Hostinstaller\3668783850_installcube.exe','');
 QuarantineFile('C:\Users\CURT\AppData\Roaming\FreeVPN\FreeVPN.exe','');
 QuarantineFile('C:\Program Files (x86)\QQBrowser\Update\A3438CCE82E971D66D76F04793B2B479\Update\BrowserUpdate.exe','');
 QuarantineFile('C:\ProgramData\Doubleing\PhysDonlab.dll','');
 QuarantineFile('C:\ProgramData\Doubleing\Roundron.dll','');
 DeleteService('tbfd_1_10_0_16');
 QuarantineFile('C:\Windows\system32\drivers\tbfd_1_10_0_16.sys','');
 DeleteService('BugreportW');
 DeleteService('WinSvces');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\WinSvces.exe','');
 QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe','');
 QuarantineFile('C:\Program Files (x86)\WeatherChickn\WeatherChickn.exe','');
 QuarantineFile('C:\ProgramData\SwinpS\WFini.exe','');
 SetServiceStart('WdMan', 4);
 DeleteService('WdMan');
 SetServiceStart('IhPul', 4);
 DeleteService('IhPul');
 SetServiceStart('4e484183279effb371e028816074032e', 4);
 DeleteService('4e484183279effb371e028816074032e');
 QuarantineFile('c:\programdata\swinps\wfini.exe','');
 QuarantineFile('c:\program files (x86)\weatherchickn\weatherchickn.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\tsv\tsvr.exe');
 QuarantineFile('c:\users\curt\appdata\roaming\tsv\tsvr.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\origin\caches\mdm');
 QuarantineFile('c:\users\curt\appdata\roaming\origin\caches\mdm','');
 QuarantineFile('c:\programdata\dchp\dchp.exe','');
 TerminateProcessByName('c:\users\curt\appdata\roaming\cppredistx86.exe');
 QuarantineFile('c:\users\curt\appdata\roaming\cppredistx86.exe','');
 TerminateProcessByName('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe');
 QuarantineFile('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe','');
 DeleteFile('C:\Program Files\058ee82d0198e688f210fbd015502fad\8cece70e80b08675cb139ec1f62f6c1b.exe','32');
 DeleteFile('c:\users\curt\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('c:\users\curt\appdata\roaming\origin\caches\mdm','32');
 DeleteFile('c:\users\curt\appdata\roaming\tsv\tsvr.exe','32');
 DeleteFile('C:\ProgramData\SwinpS\WFini.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\WinSvces.exe','32');
 DeleteFile('C:\Windows\system32\drivers\tbfd_1_10_0_16.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 DeleteFile('C:\ProgramData\Doubleing\Roundron.dll','32');
 DeleteFile('C:\ProgramData\Doubleing\PhysDonlab.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Browser Updater Task(Core)','64');
 DeleteFile('C:\Program Files (x86)\QQBrowser\Update\A3438CCE82E971D66D76F04793B2B479\Update\BrowserUpdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MdmUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
 DeleteFile('C:\Users\CURT\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
 DeleteFile('C:\Users\CURT\AppData\Local\Hostinstaller\3668783850_installcube.exe','32');
 DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\WinTsks.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WinTsks','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\CURT\appdata\roaming\x11\a\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

PDM:Trojan.win32/Generic

Рекомендуемые сообщения

CURT

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum