Касперский не удаляет PDM:Trojan.Win32.Generic

[gag2011]

Касперский определяет трояна, но вылечить его не может.

физически файла с этим именем на ндд нет.

касперский видит трояна только у меня

проверял ндд (лог диск С) у друзей на гарантировано чистой машине

(касперский, корпоративная версия, лицензия) - там все было чисто?

 

Лог прилагаю.

 

Дополнительно добавил в вордовском файле скрин центра уведомления .

 

Заранее благодарен.

CollectionLog-2019.04.30-00.39.zip

Касперский не удаляет PDM.docx

[SQ]

Здравствуйте,
 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Что из этого ДНС-сервера вашего интернет провайдера?

O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 134.17.0.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 185.20.113.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 134.17.0.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 185.20.113.21
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 134.17.0.12
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 185.20.113.21
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 134.17.0.12
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 185.20.113.21

Удалите остатки от антивируса Avast
 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2-32 - HKLM\..\BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[gag2011]

Добрый день, Андрей!

Вроде бы все получилось сделать как написано.

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241

это мой провайдер - Минск, Белтелеком (www.byfly.by), по остальным сложно сказать - достаточно давно пару раз подключался через модем МТС (сим-карта), а так только белтелеком.

 

во вложении отчеты

 

Заранее спасибо.

ClearLNK-2019.05.02_13.34.11.log

SASA_2019-05-02_16-26-44_v4.1.4.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
restart

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[gag2011]

Добрый день.

 

Скрипт выполнил.

 

Отчеты добавил.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [Autodesk Sync] => [X]
  File: C:\Program Files (x86)\hp LaserJet 1000\fwdl.exe
  File: C:\Program Files (x86)\Microsoft Office\Office\OSA9.EXE
  Task: {00D4970D-A37B-4514-AA1E-26412BCA812D} - \M-2-8-35-1208908583-1090510245-1011758591-4855\{TNBRCGT-YMDV-P3FO-PETE-OMWX8NEQ4RM7} -> No File <==== ATTENTION
  Task: {EDC7966D-F23A-42B7-A0D5-7FBC9011579A} - \KMSAutoNet -> No File <==== ATTENTION
  FF NewTab: Mozilla\Firefox\Profiles\607dhdma.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180109__yaff
  U3 aswbdisk; no ImagePath
  Folder: C:\ProgramData\RogueKiller
  File: C:\Windows\system32\Drivers\TrueSight.sys
  Folder: C:\Users\GAG\AppData\Roaming\GHISLER
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[gag2011]

Доброго.

 

На работе был аврал... только сегодня вот что то получилось сделать...

Так как KMSAuto у мя на "запуске" винды стоит, то мне ее страшно резать (если режем....)

Task: {EDC7966D-F23A-42B7-A0D5-7FBC9011579A} - \KMSAutoNet -> No File <==== ATTENTION

на всякий случай перестраховался и исключил эту строку из работы.

А так все остальное сделал.

Отчет во вложении.

 

Заранее спасибо.

 

Надеюсь, что причина не в KMSAuto!

[regist]

@gag2011, похоже на ложное срабатывание, создайте запрос в тех. поддержку. Там точно подскажут и исправят если это фолс.

Только вам понадобится прикрепить запись трассировок с воспроизведением проблемы. То что в первом посте вордовский документ то это совсем не лог.

[gag2011]

в ворде только скрин экрана с сообщением  каспика, для более точного описания вопроса

 

Печалька...у мя стоит самый простой каспик и, если  я правильно понял,

тех поддержка  оказывается касперским только на платные версии.

 

Бесплатные продукты не поддерживаются Лабораторией Касперского*

 

https://my.kaspersky.com/techsupport#/requests/new - если создавать обращение по этой ссылке то там нет

ссылки на каспика фрии!!!!

 

В какую в моем случае тех. поддержку задать вопрос?

Просьба дать ссылку или что делаем дальше?

тех поддержка не распространяется на каспик фрии....печалька.....

 

В какую тех. поддержку мне написать по моему вопросу или что делать дальше?

 

Заранее благодарен.

 

P.S. info@kaspersky.com пока напишу туда, может и не пошлют....

[regist]

 

 

касперский, корпоративная версия, лицензия

как вариант попросите друзей создать запрос по вашей проблеме (указав при этом при создание запроса их версию антивируса)...может пойдут на встречу вам.

Правда запись трассировок в Free кажись можно включить только с командной строки, а без трассировок тут только гадать.

[gag2011]

не проходит, уже раньше пробовали.......обидно что АВР принимает такую политику, но может есть варианты

 

типа

фри удалить

установить триал на 30 дней... (только какой?) им скан сделать

ну и назад фри???