PDM:Trojan.Win32.Generic

[ShlauStas1k]

Добрый день! В корпоративной сети ежедневно по несколько раз Kaspersky Endpoin Security 10 находит в System32 файлы из набора букв, обозначая Обнаруженный объект: PDM:Trojan.Win32.Generic, Типа объекта:неизвестно. Делает запрос лечить с перезагрузкой? После одобрения уходит в ребут, и выводит ошибку что лечение не удалось. Что это за вирус? Вирус ли это? Как с этим бороться? Отправлял на Kaspersky online scanner говорит, что File is safe!
Прикрепляю архив с файлом.

avp.zip

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[ShlauStas1k]

Лог с одного из компьютеров

CollectionLog-2016.11.30-10.50.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFile('C:\Users\Krokoshenko_TV\AppData\Roaming\U_Start\Pusko.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3681174928-1294865103-4106346178-1259\Software\Microsoft\Windows\CurrentVersion\Run','Pusko');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

• Загрузите GMER по одной из указанных ссылок:

  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
• После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве

[ShlauStas1k]

Лог GMER

12.log

Изменено 5 декабря, 2016 пользователем ShlauStas1k

[Sandor]

@ShlauStas1k, выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

 

 

begin
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\ynwixams');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\uxtsom');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\tpbsw');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\sxeje');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\laoyag');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\exebalhju');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\dsqhf');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\cgripd');
 RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd');
 RegKeyResetSecurity('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ziivitydb','ziivitydb_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\ynwixams','ynwixams_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\wuvitzh','wuvitzh_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\uxtsom','uxtsom_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\tpbsw','tpbsw_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\sxeje','sxeje_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\laoyag','laoyag_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\gsaznjj','gsaznjj_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\exebalhju','exebalhju_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\dsqhf','dsqhf_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\cgripd','cgripd_backup.reg');
 ExpRegKey('HKLM','SYSTEM\CurrentControlSet\services\bqpsfizd','bqpsfizd_backup.reg');
 ExpRegKey('HKLM','HKLM\SYSTEM\CurrentControlSet\services\alhdkciyw','alhdkciyw_backup.reg');
end.

Файлы:

ziivitydb_backup.reg

ynwixams_backup.reg

wuvitzh_backup.reg

uxtsom_backup.reg

tpbsw_backup.reg

sxeje_backup.reg

laoyag_backup.reg

gsaznjj_backup.reg

exebalhju_backup.reg

dsqhf_backup.reg

cgripd_backup.reg

bqpsfizd_backup.reg

alhdkciyw_backup.reg

из папки

D:\Distr\AutoLogger\AutoLogger\AVZ\

пожалуйста, упакуйте и прикрепите архив к следующему сообщению.