Перейти к содержанию
Правила раздела

Trojan.Win32.Vehidis.xem и PDM:Trojan.Win32.Generic

Roskolnikoff

От Roskolnikoff
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Roskolnikoff Новичок

Roskolnikoff

Опубликовано
Опубликовано

Здравствуйте! После каждого включения антивирус находит тмп файлы, созданные вирусом, сам вирус не находится ни kes 10 sp2, ни malwarebytes, ни drweb.  Логи в аттаче.

CollectionLog-2017.10.06-16.46.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\s.abrosimova\AppData\Roaming\SIVApp\SIVApp.exe','');
 DeleteFile('C:\Users\s.abrosimova\AppData\Roaming\SIVApp\SIVApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SIVApp');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G1.job','32');
 DeleteFile('C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Online Application V2G3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Updater_Online_Application.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Updater_Online_Application','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Roskolnikoff Новичок

Roskolnikoff

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

KLAN-6949056985 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip.txt

 

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:

image001.jpg

image002.png

image003.png

image004.png

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

               

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

CollectionLog-2017.10.09-10.03.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

VKOKAdBlock удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [BestZiper] => C:\Program Files (x86)\BestZiper\BestZiper.exe [1513472 2017-04-05] () <==== ATTENTION
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-368990665-1078371075-2582411222-21541\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-368990665-1078371075-2582411222-25460\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-368990665-1078371075-2582411222-3484\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E&q={searchTerms}
HKU\S-1-5-21-368990665-1078371075-2582411222-25460\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495611525&z=a38d0ab1e3cca25804f7fc6g8z9tawfqegcg2w9o0w&from=che0812&uid=SamsungXSSDX850XEVOX250GB_S2R4NB0HA20200E
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iinglghmhcgdgjjlafobajghjamdchik] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
S2 glory; C:\Windows\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 glory; C:\Windows\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 WinSAPSvc; C:\windows\system32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
C:\Program Files (x86)\BestZiper\BestZiper.exe
C:\Users\s.abrosimova\libj2v8_win32_x86_64.dll
2017-10-06 11:41 - 2017-10-06 11:41 - 008355840 _____ (Reimage) C:\Users\a.shichko\AppData\Local\Temp\ReimagePackage.exe
2016-08-16 10:48 - 2016-08-16 10:48 - 000488960 _____ () C:\Users\a.shichko\AppData\Local\Temp\sqlite3.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {4912928C-29EA-4DE3-ADEE-2BED56DA7B3C} - \Microsoft\Windows\Multimedia\Driver -> No File <==== ATTENTION
Task: {653452F3-3CF9-4067-ABF8-272FA66AD05E} - System32\Tasks\AdWare Relaep demo => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\AdWare Relaep demo\AdWare Relaep demo.dll",UpyHuUI <==== ATTENTION
HKU\S-1-5-21-368990665-1078371075-2582411222-25460\...\StartupApproved\Run: => "SIVApp"
HKLM\...\StartupApproved\Run32: => "BestZiper"
HKU\S-1-5-21-368990665-1078371075-2582411222-25460\...\StartupApproved\Run: => "615449"
HKU\S-1-5-21-368990665-1078371075-2582411222-25460\...\StartupApproved\Run: => "569293"
HKU\S-1-5-21-368990665-1078371075-2582411222-25460\...\StartupApproved\Run: => "760864"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Roskolnikoff Новичок

Roskolnikoff

Опубликовано
  • Автор
Опубликовано

вроде бы. Не совсем только понял, такая же ситуация может возникнуть на других компьютерах, так как угрозы не детектятся антивирусом?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Roskolnikoff Новичок

Roskolnikoff

Опубликовано
  • Автор
Опубликовано
SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]

WebSite: www.safezone.cc

DateLog: 13.10.2017 09:23:41

Path starting: C:\Users\kav.server\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: kav.server

VersionXML: 4.66is-07.10.2017

___________________________________________________________________________

 

Windows 10(6.3.15063) (x64) Enterprise Release: 1703 Lang: English(0409)

Installation date OS: 19.05.2017 18:46:04

LicenseStatus: Windows®, Enterprise edition Volume activation will expire : 256767 minutes

LicenseStatus: Office 16, Office16ProPlusVL_KMS_Client edition Windows is in Notification mode

Boot Mode: Normal

Default Browser: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)

SystemDrive: C: FS: [NTFS] Capacity: [232.4 Gb] Used: [131.9 Gb] Free: [100.5 Gb]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.540.15063.0 Warning! Download Update

Online installation. Last version available when Windows update is enabled throught the Internet.

User Account Control enabled

Automatically download and schedule installation

The computer gets its updates from a WSUS server

Windows Update (wuauserv) - The service is running

Security Center (wscsvc) - The service is running

Remote Registry (RemoteRegistry) - The service has stopped

SSDP Discovery (SSDPSRV) - The service is running

Remote Desktop Services (TermService) - The service is running

World Wide Web Publishing Service (W3SVC) - The service is running

Windows Remote Management (WS-Management) (WinRM) - The service has stopped

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x64 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (disabled and out of date)

Kaspersky Endpoint Security 10 для Windows (enabled and up to date)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Endpoint Security 10 для Windows (disabled)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Endpoint Security 10 для Windows (enabled and up to date)

Windows Defender (disabled and out of date)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Агент администрирования Kaspersky Security Center 10 v.10.3.407

Kaspersky Endpoint Security 10 для Windows v.10.2.5.3201

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 17.01 beta (x64) v.17.01 beta [+]

TeamViewer 12 v.12.0.83369

Microsoft Silverlight v.5.1.50907.0

TeamViewer 12 (TeamViewer) - The service is running

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.39 v.7.39.102 Warning! Download Update

Viber v.6.7.0.1082

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1

Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Warning! Download Update

Uninstall old version and install new one (jdk-8u144-windows-x64.exe).

Java 8 Update 144 v.8.0.1440.1

Java SE Development Kit 8 Update 121 v.8.0.1210.13 Warning! Download Update

Uninstall old version and install new one (jdk-8u144-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 27 NPAPI v.27.0.0.159 [+]

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 55.0.3 (x64 ru) v.55.0.3 Warning! Download Update

Google Chrome v.59.0.3071.115 Warning! Download Update

Mozilla Firefox 55.0.3 (x86 ru) v.55.0.3 Warning! Download Update

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 45.8.0 (x86 en-US) v.45.8.0 Warning! Download Update

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.59.0.3071.115

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Endpoint Security Service (AVP) - The service is running

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1\avp.exe v.10.2.5.3201

C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.447

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0

Windows Defender Antivirus Service (WinDefend) - The service is running

Windows Defender Antivirus Network Inspection Service (WdNisSvc) - The service has stopped

---------------------------- [ UnwantedApps ] -----------------------------

Intel Security True Key v.4.18.110.1 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.

Skype Click to Call v.8.5.0.9167 Warning! Browser's toolbar. It can slow down the working of your browser and have violation privacy problems.

----------------------------- [ End of Log ] ------------------------------
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

на других компьютерах, так как угрозы не детектятся антивирусом?

Если хотите проверить другие, можете в другой теме по принципу один ПК, одна тема.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ilia_.7
      PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
    • koshelev_forwor
      Trojan.Win32.SEPEH.gen
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Sv1gL
      Trojan.Win32.Generic
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...