Перейти к содержанию
Правила раздела

PDM:Trojan.Win32.Generic не лечится

valentin_ubuntu

От valentin_ubuntu
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

valentin_ubuntu Новичок

valentin_ubuntu

Опубликовано
Опубликовано

Здравствуйте.
Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.

находит: C:\ProgramData\xmrig.cmd
и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe

оба файла, после удаления, появляются вновь.

smb протокол "Запилен"

cureit находит кучу dll (скриншот прилагаю)

Сделал сбор логов с помощью AutoLogger.exe

ConnectWise Control_PK6_2021-09-08_4.png

CollectionLog-2021.09.08-16.00.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

6 минут назад, valentin_ubuntu сказал:

Сделал сбор логов с помощью AutoLogger.exe

Вынужден не согласиться :)

В архиве логи утилиты FRST, их пока никто не запрашивал. Переделайте по правилам.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('loadhost Dhcp');
 QuarantineFile('C:\Windows\INF\host.cmd','');
 QuarantineFile('C:\Windows\INF\IntelSvc.exe','');
 QuarantineFile('C:\Users\Public\Music\loadhost.exe','');
 DeleteFile('C:\Users\Public\Music\loadhost.exe','64');
 DeleteFile('C:\Windows\INF\IntelSvc.exe','64');
 DeleteSchedulerTask('Intel(R)Updata');
 DeleteSchedulerTask('GoogleUpdateUser');
 DeleteFile('C:\Windows\INF\host.cmd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

Запущено с помощью share (ВНИМАНИЕ: Пользователь не является Администратором) на PK6 (Acer Veriton S2610G) (13-09-2021 10:57:33)

Придется переделать, дав учетке права администратора
 

Ссылка на комментарий
Поделиться на другие сайты
valentin_ubuntu Новичок

valentin_ubuntu

Опубликовано
  • Автор
Опубликовано (изменено)

Уважаемый, Thyrex!

Большое спасибо, что откликнулись и помогли нам, с нашей проблемой.

 

По итогу: вылечились с помощью eset online scaner, который нашел все места, куда прописалась зараза. После лечения eset, касперский  free смог удалить командный сценарий C:\ProgramData\xmrig.cmd.

Далее подправили групповые политики, через которые были заблокированы: Диспетчер задач и вправка в реестр.

Далее, разобрались с мифической учетной записью, которая появлялась, на короткое время, при перезагрузке пк, затем пропадала.

Чтоб непонятная учетка не лезла в автозагрузке, выправили реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName - было проставлено имя учетки, под которой пролез вирус + имя последнего сеанса входа тоже было прописано для данной учетки desktop (исправили)
AutoAdminLogon - был параметр единица, выправили на ноль.

 

На данный момент видимых признаков заражения нет. Рекламные баннеры не выскакивают. Касперский молчит.

Вот, как-то так. Надеюсь, кому-то, данная информация, поможет :)
 

 

 

Изменено пользователем valentin_ubuntu
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • FredyFox
      Trojan.Multi.GenAutorunReg.a не лечится антивирусом
      От FredyFox
      Вирус не лечится. Все что пишется о нем - название и что сидит в System Memory. Все, что мог бы использовать для его удаления, закрывается моментально при попытке использовать. Могу пытаться что-то с этим сделать только в безопасном режиме
    • ilia_.7
      PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
    • Jortin
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится
      От Jortin
      Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 
      По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.
      CollectionLog-2024.11.07-09.15.zip
    • barank1n
      Не лечиться. Постоянно появляется снова "HEUR:Trojan.Multi.GenBadur.genw"
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
×
×
  • Создать...