Перейти к содержанию
Правила раздела

Троян класса Generic

CptNemo

От CptNemo
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

CptNemo Новичок

CptNemo

Опубликовано
Опубликовано

Сегодня после работы на одном из компьютеров всплыло сообщение о вирусе, после перезагрузки были обнаружены следущие симтомы:

-касперсккий оттрабанил. что был обнаружен троян.дженерик, что он пытается внедрить себя в автозагрузку

-после запрета всплыло сообщение, с предложением отката, однако не удалось произвести откат

- на рабочем столе вместо обоев висела надпись на английском, что обнаружено шпионское по и рекомендацией по установке антивируса или анти шпионского по(в безопасном режиме отсутсвует)

-все точки отката системы стёрты

-исчезли пункты в свойтвах экрана рабочий стол и завставка(в безопасном режиме отсутсвует)

-если верить свойствам диска с то с него происходит удаление информации и данных.....

сигнатуры угроз были свежие от сегоднешнего числа....

вообщем сос

Ссылка на комментарий
Поделиться на другие сайты
CptNemo Новичок

CptNemo

Опубликовано
  • Автор
Опубликовано (изменено)

hijackthis.rar

 

virusinfo_syscheck.zip

 

 

Вот сделал..извините, всегда правила, чиаю но сейчас не знал , за что хвататься. впервые у меня такое....

Изменено пользователем CptNemo
Ссылка на комментарий
Поделиться на другие сайты
Максим Продвинутый

Максим

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe');
DeleteFile('C:\WINDOWS\system32\blphc5dej0e3al.scr');
DeleteFile('C:\WINDOWS\system32\lphc5dej0e3al.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Secdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Пофиксите в HijackThis 

O4 - HKLM\..\Run: [Tet-a-Tet] C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe -m
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [lphc5dej0e3al] C:\WINDOWS\system32\lphc5dej0e3al.exe

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

 

Повторите логи.

 

Так как мы не знаем что это был за троян, поменяйте на всякий случай пароли.

Ссылка на комментарий
Поделиться на другие сайты
CptNemo Новичок

CptNemo

Опубликовано
  • Автор
Опубликовано

скрипт ошибок не выдал, всё сделал

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

это пофиксил, хотя девдектор был частью асидиси, остального не было....

посл работы мастера исправлений вроде все симтомы исчесли, а исчезновение файлов прекратилось после первого пробега авз

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Максим Продвинутый

Максим

Опубликовано
Опубликовано

В логах всё нормально.

это пофиксил, хотя девдектор был частью асидиси, остального не было....
Прошу прощения. Указанную строчку можно восстановить. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".
Ссылка на комментарий
Поделиться на другие сайты
vista Новичок

vista

Опубликовано
Опубликовано

Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:fba89d31a3ect.jpg

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано
Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:fba89d31a3ect.jpg

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

Ссылка на комментарий
Поделиться на другие сайты
vista Новичок

vista

Опубликовано
Опубликовано
Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

 

Спасибо.

отправила.только файл не могу загрузить, т.к. слишком большой.

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано (изменено)

Файл как раз-таки надо. Если он слишком большой (более 10 мегабайт), то выложите ссылку на него на какой-либо файлообменник, нипример, сюда: http://depositfiles.com , после чего отправьте письмо туда же, с описанием и ссылкой на файл. Отправлять необходимо в архиве с паролем, пароль обязательно нужно указать при отправке на newvirus<собачка>kaspersky.com

Изменено пользователем Евгений Малинин
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Dairoku69_
      [РЕШЕНО] Майнер (и возможно троян) после установки утилиты "Zapret"
      От Dairoku69_
      Попыталась обойти замедление дискорда и ютуба, а наткнулась на майнер и возможно ещё на троян. Сами файлы утилиты я уже удалила, но на устройстве появился майнер и угроза названая трояном в Kaspersky Standart, при этом сам антивирус их удалить не смог. Проверяла систему Dr.Web Curelt, KVRT, первый нашёл и почистил только мелкие файлы, не относящиеся к майнеру с утилиты, второй вообще ничего не нашёл.
       
      Логи:
      CollectionLog-2024.12.13-05.23.zip
       
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Добрячок
      [РЕШЕНО] Троян HEUR:Trojan.Multi.GenBadur.genw в System Memory после удаления всегда появляется снова
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
×
×
  • Создать...