Перейти к содержанию
Правила раздела
Викторина о вирусах и компьютерных инцидентах

PDM:Trojan.Win32.Generic не лечится

valentin_ubuntu

Автор valentin_ubuntu,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

valentin_ubuntu

valentin_ubuntu 0

Опубликовано
Опубликовано

Здравствуйте.
Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.

находит: C:\ProgramData\xmrig.cmd
и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe

оба файла, после удаления, появляются вновь.

smb протокол "Запилен"

cureit находит кучу dll (скриншот прилагаю)

Сделал сбор логов с помощью AutoLogger.exe

ConnectWise Control_PK6_2021-09-08_4.png

CollectionLog-2021.09.08-16.00.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 926

Опубликовано
Опубликовано

Здравствуйте!

 

6 минут назад, valentin_ubuntu сказал:

Сделал сбор логов с помощью AutoLogger.exe

Вынужден не согласиться :)

В архиве логи утилиты FRST, их пока никто не запрашивал. Переделайте по правилам.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1287

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('loadhost Dhcp');
 QuarantineFile('C:\Windows\INF\host.cmd','');
 QuarantineFile('C:\Windows\INF\IntelSvc.exe','');
 QuarantineFile('C:\Users\Public\Music\loadhost.exe','');
 DeleteFile('C:\Users\Public\Music\loadhost.exe','64');
 DeleteFile('C:\Windows\INF\IntelSvc.exe','64');
 DeleteSchedulerTask('Intel(R)Updata');
 DeleteSchedulerTask('GoogleUpdateUser');
 DeleteFile('C:\Windows\INF\host.cmd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1287

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1287

Опубликовано
Опубликовано
Цитата

Запущено с помощью share (ВНИМАНИЕ: Пользователь не является Администратором) на PK6 (Acer Veriton S2610G) (13-09-2021 10:57:33)

Придется переделать, дав учетке права администратора
 

Ссылка на сообщение
Поделиться на другие сайты
valentin_ubuntu

valentin_ubuntu 0

Опубликовано
  • Автор
Опубликовано (изменено)

Уважаемый, Thyrex!

Большое спасибо, что откликнулись и помогли нам, с нашей проблемой.

 

По итогу: вылечились с помощью eset online scaner, который нашел все места, куда прописалась зараза. После лечения eset, касперский  free смог удалить командный сценарий C:\ProgramData\xmrig.cmd.

Далее подправили групповые политики, через которые были заблокированы: Диспетчер задач и вправка в реестр.

Далее, разобрались с мифической учетной записью, которая появлялась, на короткое время, при перезагрузке пк, затем пропадала.

Чтоб непонятная учетка не лезла в автозагрузке, выправили реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName - было проставлено имя учетки, под которой пролез вирус + имя последнего сеанса входа тоже было прописано для данной учетки desktop (исправили)
AutoAdminLogon - был параметр единица, выправили на ноль.

 

На данный момент видимых признаков заражения нет. Рекламные баннеры не выскакивают. Касперский молчит.

Вот, как-то так. Надеюсь, кому-то, данная информация, поможет :)
 

 

 

Изменено пользователем valentin_ubuntu
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Yonavi
      Помоготе пожалуйста, что то жрет процессор под 100% но при заходе в "диспетчер задач" нагрузка на процессор падает.
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      [РЕШЕНО] Троян в системной памяти
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      Обнаружен вредоносный объект
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
    • guts
      Powershell процесс грузит ЦПУ
      От guts
      Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
      CollectionLog-2021.11.23-16.17.zip
    • Кеша
      Процесс TiWorker нагружает систему
      От Кеша
      Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.
      CollectionLog-2021.11.22-20.33.zip
×
×
  • Создать...