Перейти к содержанию
Правила раздела

Троян класса Generic

CptNemo

От CptNemo
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

CptNemo Новичок

CptNemo

Опубликовано
Опубликовано

Сегодня после работы на одном из компьютеров всплыло сообщение о вирусе, после перезагрузки были обнаружены следущие симтомы:

-касперсккий оттрабанил. что был обнаружен троян.дженерик, что он пытается внедрить себя в автозагрузку

-после запрета всплыло сообщение, с предложением отката, однако не удалось произвести откат

- на рабочем столе вместо обоев висела надпись на английском, что обнаружено шпионское по и рекомендацией по установке антивируса или анти шпионского по(в безопасном режиме отсутсвует)

-все точки отката системы стёрты

-исчезли пункты в свойтвах экрана рабочий стол и завставка(в безопасном режиме отсутсвует)

-если верить свойствам диска с то с него происходит удаление информации и данных.....

сигнатуры угроз были свежие от сегоднешнего числа....

вообщем сос

Ссылка на комментарий
Поделиться на другие сайты
CptNemo Новичок

CptNemo

Опубликовано
  • Автор
Опубликовано (изменено)

hijackthis.rar

 

virusinfo_syscheck.zip

 

 

Вот сделал..извините, всегда правила, чиаю но сейчас не знал , за что хвататься. впервые у меня такое....

Изменено пользователем CptNemo
Ссылка на комментарий
Поделиться на другие сайты
Максим Продвинутый

Максим

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe');
DeleteFile('C:\WINDOWS\system32\blphc5dej0e3al.scr');
DeleteFile('C:\WINDOWS\system32\lphc5dej0e3al.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Secdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Пофиксите в HijackThis 

O4 - HKLM\..\Run: [Tet-a-Tet] C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe -m
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [lphc5dej0e3al] C:\WINDOWS\system32\lphc5dej0e3al.exe

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

 

Повторите логи.

 

Так как мы не знаем что это был за троян, поменяйте на всякий случай пароли.

Ссылка на комментарий
Поделиться на другие сайты
CptNemo Новичок

CptNemo

Опубликовано
  • Автор
Опубликовано

скрипт ошибок не выдал, всё сделал

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

это пофиксил, хотя девдектор был частью асидиси, остального не было....

посл работы мастера исправлений вроде все симтомы исчесли, а исчезновение файлов прекратилось после первого пробега авз

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Максим Продвинутый

Максим

Опубликовано
Опубликовано

В логах всё нормально.

это пофиксил, хотя девдектор был частью асидиси, остального не было....
Прошу прощения. Указанную строчку можно восстановить. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".
Ссылка на комментарий
Поделиться на другие сайты
vista Новичок

vista

Опубликовано
Опубликовано

Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:fba89d31a3ect.jpg

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано
Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:fba89d31a3ect.jpg

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

Ссылка на комментарий
Поделиться на другие сайты
vista Новичок

vista

Опубликовано
Опубликовано
Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

 

Спасибо.

отправила.только файл не могу загрузить, т.к. слишком большой.

Ссылка на комментарий
Поделиться на другие сайты
Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано (изменено)

Файл как раз-таки надо. Если он слишком большой (более 10 мегабайт), то выложите ссылку на него на какой-либо файлообменник, нипример, сюда: http://depositfiles.com , после чего отправьте письмо туда же, с описанием и ссылкой на файл. Отправлять необходимо в архиве с паролем, пароль обязательно нужно указать при отправке на newvirus<собачка>kaspersky.com

Изменено пользователем Евгений Малинин
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Zafod
      HEUR:Trojan-Ransom.Win32.Generic
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
×
×
  • Создать...