Перейти к содержанию
Правила раздела

PDM:Trojan.Win32.Generic

ShlauStas1k

Автор ShlauStas1k
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ShlauStas1k

ShlauStas1k

Опубликовано
Опубликовано

Добрый день! В корпоративной сети ежедневно по несколько раз Kaspersky Endpoin Security 10 находит в System32 файлы из набора букв, обозначая Обнаруженный объект: PDM:Trojan.Win32.Generic, Типа объекта:неизвестно. Делает запрос лечить с перезагрузкой? После одобрения уходит в ребут, и выводит ошибку что лечение не удалось. Что это за вирус? Вирус ли это? Как с этим бороться? Отправлял на Kaspersky online scanner говорит, что File is safe!
Прикрепляю архив с файлом.

avp.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFile('C:\Users\Krokoshenko_TV\AppData\Roaming\U_Start\Pusko.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3681174928-1294865103-4106346178-1259\Software\Microsoft\Windows\CurrentVersion\Run','Pusko');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.
  • Загрузите GMER по одной из указанных ссылок:

    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробную инструкцию читайте в руководстве
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

@ShlauStas1k, выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

 

begin
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ynwixams');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\uxtsom');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\tpbsw');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\sxeje');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\laoyag');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\exebalhju');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\dsqhf');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\cgripd');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd');
 RegKeyResetSecurity('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb','ziivitydb_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ynwixams','ynwixams_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh','wuvitzh_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\uxtsom','uxtsom_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\tpbsw','tpbsw_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\sxeje','sxeje_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\laoyag','laoyag_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj','gsaznjj_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\exebalhju','exebalhju_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\dsqhf','dsqhf_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\cgripd','cgripd_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd','bqpsfizd_backup.reg');
 ExpRegKey('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw','alhdkciyw_backup.reg');
end.
Файлы:

ziivitydb_backup.reg

ynwixams_backup.reg

wuvitzh_backup.reg

uxtsom_backup.reg

tpbsw_backup.reg

sxeje_backup.reg

laoyag_backup.reg

gsaznjj_backup.reg

exebalhju_backup.reg

dsqhf_backup.reg

cgripd_backup.reg

bqpsfizd_backup.reg

alhdkciyw_backup.reg

из папки

D:\Distr\AutoLogger\AutoLogger\AVZ\

пожалуйста, упакуйте и прикрепите архив к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • Skorpionio
      [РЕШЕНО] PDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузки
      Автор Skorpionio
      CollectionLog-2025.07.28-14.18.zipХотел скачать fallout 4, вместе с ним скачал вирус. Начал лечение с перезагрузкой, после включения касперский начал жаловаться на файл, который расположен по этому пути в c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn. После повторной перезагрузки проблема повторяется, такой же путь и файл. Запускал в безопасном режиме и проводил полную проверку, касперский ничего не нашел, также этот файл в папке temp я тоже не находил. В мониторинге активности подобные логи:

      Событие: Обнаружен вредоносный объект
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
      Причина: Базы
      Дата выпуска баз: Сегодня, 28.07.2025 4:49:00

      Событие: Процесс завершен
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Завершен
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: C:\Users\Иван\AppData\Local\Temp\2zvUszGBODCz5KZzRQ7mSDo5Orn
      Имя объекта: setup.exe

      Событие: Объект удален
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Удалено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
    • AleksandrNeiman
      [РЕШЕНО] PDM:Trojan.WiPDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузкиn32.Generic востанавливается после лечения и перезагрузки
      Автор AleksandrNeiman
      Windows 11 PRO 64
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
×
×
  • Создать...