Перейти к содержанию

PDM:Trojan.Win32.Generic не лечится


Рекомендуемые сообщения

Здравствуйте.
Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.

находит: C:\ProgramData\xmrig.cmd
и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe

оба файла, после удаления, появляются вновь.

smb протокол "Запилен"

cureit находит кучу dll (скриншот прилагаю)

Сделал сбор логов с помощью AutoLogger.exe

ConnectWise Control_PK6_2021-09-08_4.png

CollectionLog-2021.09.08-16.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

6 минут назад, valentin_ubuntu сказал:

Сделал сбор логов с помощью AutoLogger.exe

Вынужден не согласиться :)

В архиве логи утилиты FRST, их пока никто не запрашивал. Переделайте по правилам.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('loadhost Dhcp');
 QuarantineFile('C:\Windows\INF\host.cmd','');
 QuarantineFile('C:\Windows\INF\IntelSvc.exe','');
 QuarantineFile('C:\Users\Public\Music\loadhost.exe','');
 DeleteFile('C:\Users\Public\Music\loadhost.exe','64');
 DeleteFile('C:\Windows\INF\IntelSvc.exe','64');
 DeleteSchedulerTask('Intel(R)Updata');
 DeleteSchedulerTask('GoogleUpdateUser');
 DeleteFile('C:\Windows\INF\host.cmd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Запустил   Farbar Recovery Scan Tool, отметил нужные опции, запустил. Полученные файлы запаковал в zip.

Farbar Recovery Scan Tool LOG.zip

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Запущено с помощью share (ВНИМАНИЕ: Пользователь не является Администратором) на PK6 (Acer Veriton S2610G) (13-09-2021 10:57:33)

Придется переделать, дав учетке права администратора
 

Ссылка на сообщение
Поделиться на другие сайты

Уважаемый, Thyrex!

Большое спасибо, что откликнулись и помогли нам, с нашей проблемой.

 

По итогу: вылечились с помощью eset online scaner, который нашел все места, куда прописалась зараза. После лечения eset, касперский  free смог удалить командный сценарий C:\ProgramData\xmrig.cmd.

Далее подправили групповые политики, через которые были заблокированы: Диспетчер задач и вправка в реестр.

Далее, разобрались с мифической учетной записью, которая появлялась, на короткое время, при перезагрузке пк, затем пропадала.

Чтоб непонятная учетка не лезла в автозагрузке, выправили реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName - было проставлено имя учетки, под которой пролез вирус + имя последнего сеанса входа тоже было прописано для данной учетки desktop (исправили)
AutoAdminLogon - был параметр единица, выправили на ноль.

 

На данный момент видимых признаков заражения нет. Рекламные баннеры не выскакивают. Касперский молчит.

Вот, как-то так. Надеюсь, кому-то, данная информация, поможет :)
 

 

 

Изменено пользователем valentin_ubuntu
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • PULEGLOT007
      От PULEGLOT007
      Провёл несколько полных сканирований компьютера с помощью Kasperksy Virus Removal Tool, первые разы он находил вирусы, но теперь не находит, а нагрузка на ЦП остается около 100%, права админа отсутствуют и не получается установить Kaspersky Security Cloud Free, выдаёт ошибку во время установки. 
      CollectionLog-2022.01.14-00.39.zip
    • stalker3972
      От stalker3972
      Здравствуйте, сегодня решил почистить компьютер, после загрузки компьютера и входа на рабочий стол сразу же прилетает уведомление об антивирусе что обнаружена угроза, мне стало интересно я захожу в подробности в угрозе и вижу что затронуто сразу несколько элементов, file: C:\ProgramData\FingerPrint\FingerPrint.exe, file: C:\Windows\System32\Tasks\fpShow_W5->(UTF-16LE), regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87E85DD6-D7B9-490E-90D3-38009DED5F19}, regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fpShow_W5, taskscheduler: C:\Windows\System32\Tasks\fpShow_W5, прочитав что такое fingerprint более известен как CSGOcalc 
      я перешел по пути где хранится вирус и удалил папку и перезагрузил компьютер, после перезагрузки компьютера меня ждал сюрприз - вирус не удаляется, он восстанавливается раз за разом, антивирус ничего сделать не смог. Пожалуйста помогите.
    • Константин141414
      От Константин141414
      CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
    • MadWaterfild
      От MadWaterfild
      Заметил, что стали сильно шуметь кулер на ноутбуке и подтормаживать система. С помощью Dr.Web Curelt! обнаружил вредоносные процессы Wasp и Waspwing. Думал, что проблема решена, но через несколько минут кулер снова угрюмо зашумел. С помощью process explorer отследил, что виноват powershell.exe. Но когда запускается диспетчер задач или один из антивирусов (в том числе Dr.Web Curelt!) процесс "прячется" (перестаёт загружать ЦП). Прилагаю скрины и логи. CollectionLog-2021.12.28-17.30.zip
       
×
×
  • Создать...