PDM:Trojan.Win32.Generic не лечится

[valentin_ubuntu]

Здравствуйте.
Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.

находит: C:\ProgramData\xmrig.cmd
и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe

оба файла, после удаления, появляются вновь.

smb протокол "Запилен"

cureit находит кучу dll (скриншот прилагаю)

Сделал сбор логов с помощью AutoLogger.exe

CollectionLog-2021.09.08-16.00.zip

[Sandor]

Здравствуйте!

 

6 минут назад, valentin_ubuntu сказал:

Сделал сбор логов с помощью AutoLogger.exe

Вынужден не согласиться

В архиве логи утилиты FRST, их пока никто не запрашивал. Переделайте по правилам.

[valentin_ubuntu]

прошу прощения. вот правильный архив с логами

CollectionLog-2021.09.08-17.58.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('loadhost Dhcp');
 QuarantineFile('C:\Windows\INF\host.cmd','');
 QuarantineFile('C:\Windows\INF\IntelSvc.exe','');
 QuarantineFile('C:\Users\Public\Music\loadhost.exe','');
 DeleteFile('C:\Users\Public\Music\loadhost.exe','64');
 DeleteFile('C:\Windows\INF\IntelSvc.exe','64');
 DeleteSchedulerTask('Intel(R)Updata');
 DeleteSchedulerTask('GoogleUpdateUser');
 DeleteFile('C:\Windows\INF\host.cmd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[valentin_ubuntu]

Выполнил оба скрипта. Заново собрал логи.

 

CollectionLog-2021.09.10-15.20.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[valentin_ubuntu]

Запустил   Farbar Recovery Scan Tool, отметил нужные опции, запустил. Полученные файлы запаковал в zip.

Farbar Recovery Scan Tool LOG.zip

[thyrex]

Цитата

Запущено с помощью share (ВНИМАНИЕ: Пользователь не является Администратором) на PK6 (Acer Veriton S2610G) (13-09-2021 10:57:33)

Придется переделать, дав учетке права администратора
 

[valentin_ubuntu]

Уважаемый, Thyrex!

Большое спасибо, что откликнулись и помогли нам, с нашей проблемой.

 

По итогу: вылечились с помощью eset online scaner, который нашел все места, куда прописалась зараза. После лечения eset, касперский  free смог удалить командный сценарий C:\ProgramData\xmrig.cmd.

Далее подправили групповые политики, через которые были заблокированы: Диспетчер задач и вправка в реестр.

Далее, разобрались с мифической учетной записью, которая появлялась, на короткое время, при перезагрузке пк, затем пропадала.

Чтоб непонятная учетка не лезла в автозагрузке, выправили реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName - было проставлено имя учетки, под которой пролез вирус + имя последнего сеанса входа тоже было прописано для данной учетки desktop (исправили)
AutoAdminLogon - был параметр единица, выправили на ноль.

 

На данный момент видимых признаков заражения нет. Рекламные баннеры не выскакивают. Касперский молчит.

Вот, как-то так. Надеюсь, кому-то, данная информация, поможет
 

 

 

Изменено 14 сентября, 2021 пользователем valentin_ubuntu