Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

PDM:Trojan.Win32.Generic

ShlauStas1k

Автор ShlauStas1k
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ShlauStas1k

ShlauStas1k

Опубликовано
Опубликовано

Добрый день! В корпоративной сети ежедневно по несколько раз Kaspersky Endpoin Security 10 находит в System32 файлы из набора букв, обозначая Обнаруженный объект: PDM:Trojan.Win32.Generic, Типа объекта:неизвестно. Делает запрос лечить с перезагрузкой? После одобрения уходит в ребут, и выводит ошибку что лечение не удалось. Что это за вирус? Вирус ли это? Как с этим бороться? Отправлял на Kaspersky online scanner говорит, что File is safe!
Прикрепляю архив с файлом.

avp.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFile('C:\Users\Krokoshenko_TV\AppData\Roaming\U_Start\Pusko.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3681174928-1294865103-4106346178-1259\Software\Microsoft\Windows\CurrentVersion\Run','Pusko');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.
  • Загрузите GMER по одной из указанных ссылок:

    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробную инструкцию читайте в руководстве
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

@ShlauStas1k, выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

 

begin
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ynwixams');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\uxtsom');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\tpbsw');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\sxeje');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\laoyag');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\exebalhju');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\dsqhf');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\cgripd');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd');
 RegKeyResetSecurity('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb','ziivitydb_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ynwixams','ynwixams_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh','wuvitzh_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\uxtsom','uxtsom_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\tpbsw','tpbsw_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\sxeje','sxeje_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\laoyag','laoyag_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj','gsaznjj_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\exebalhju','exebalhju_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\dsqhf','dsqhf_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\cgripd','cgripd_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd','bqpsfizd_backup.reg');
 ExpRegKey('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw','alhdkciyw_backup.reg');
end.
Файлы:

ziivitydb_backup.reg

ynwixams_backup.reg

wuvitzh_backup.reg

uxtsom_backup.reg

tpbsw_backup.reg

sxeje_backup.reg

laoyag_backup.reg

gsaznjj_backup.reg

exebalhju_backup.reg

dsqhf_backup.reg

cgripd_backup.reg

bqpsfizd_backup.reg

alhdkciyw_backup.reg

из папки

D:\Distr\AutoLogger\AutoLogger\AVZ\

пожалуйста, упакуйте и прикрепите архив к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • Mapuo__
      HEUR:Trojan.Win32.Generic
      Автор Mapuo__
      Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

      CollectionLog-2025.02.04-09.33.zip
    • ilia_.7
      PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell
      Автор ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
×
×
  • Создать...