Перейти к содержанию
Правила раздела

PDM:Trojan.Win32.Bazon.a

Николай8911

Автор Николай8911
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\updater.py','');
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\ipyw64.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\dkk0m.exe');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\vj66.exe');
 QuarantineFile('c:\users\user\appdata\roaming\toc\vj66.exe','');
 DeleteFile('c:\users\user\appdata\roaming\toc\vj66.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\toc\dkk0m.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x64');
 DeleteFile('C:\Windows\Temp\csqCveJmNfCLKRVk\rflQKUPCdYwSNDk\XZuxXvx.exe','32');
 DeleteSchedulerTask('nrHfqqxkNrzstFVpv.job');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (из папки Автологгера).

  

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:  в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\Users\User\ntuser.pol
2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\ProgramData\ntuser.pol
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\McAfee
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\grizzly
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\ESET
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Doctor Web
Unblock: C:\Program Files\Kaspersky Lab
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\ESET
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Cezurity
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 ____D C:\ProgramData\Avira
2022-02-13 18:51 - 2022-02-14 00:16 - 000000000 __SHD C:\ProgramData\Setup
2022-02-13 18:51 - 2022-02-14 00:10 - 000000000 __SHD C:\ProgramData\WindowsTask
2022-02-13 18:51 - 2022-02-13 23:51 - 000000000 __SHD C:\ProgramData\RealtekHD
2022-02-13 18:51 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Install
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\RunDLL
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\Norton
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\AVAST Software
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\360safe
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\SpyHunter
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\Enigma Software Group
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\COMODO
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\ByteFence
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVG
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVAST Software
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVG
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\360
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\KVRT_Data
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\Windows\speechstracing
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\System32
2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\MB3Install
2020-11-16 10:08 C:\AdwCleaner
2022-02-13 18:51 C:\KVRT_Data
2022-02-13 18:51 C:\Program Files\AVAST Software
2022-02-13 18:51 C:\Program Files\AVG
2022-02-13 18:51 C:\Program Files\ByteFence
2022-02-13 18:52 C:\Program Files\Cezurity
2022-02-13 18:51 C:\Program Files\COMODO
2022-02-13 18:51 C:\Program Files\Enigma Software Group
2022-02-13 18:52 C:\Program Files\ESET
2019-12-09 20:50 C:\Program Files\Malwarebytes
2022-02-13 18:51 C:\Program Files\SpyHunter
2022-02-13 18:51 C:\Program Files (x86)\360
2022-02-13 18:51 C:\Program Files (x86)\AVAST Software
2022-02-13 18:51 C:\Program Files (x86)\AVG
2022-02-13 18:52 C:\Program Files (x86)\Cezurity
2022-02-13 18:52 C:\Program Files (x86)\GRIZZLY Antivirus
Unblock: C:\Program Files (x86)\Kaspersky Lab
2022-02-13 18:51 C:\Program Files (x86)\Microsoft JDX
2022-02-13 18:52 C:\Program Files (x86)\Panda Security
2022-02-13 18:51 C:\Program Files (x86)\SpyHunter
2022-02-13 18:51 C:\Windows\speechstracing
2022-02-13 18:52 C:\Program Files\Common Files\McAfee
2022-02-13 18:51 C:\ProgramData\360safe
2022-02-13 18:51 C:\ProgramData\AVAST Software
2022-02-13 18:52 C:\ProgramData\Avira
2022-02-13 18:52 C:\ProgramData\Doctor Web
2022-02-13 18:52 C:\ProgramData\ESET
2022-02-13 18:52 C:\ProgramData\grizzly
2019-11-25 18:04 C:\ProgramData\Info
Unblock: C:\ProgramData\Kaspersky Lab Setup Files
2021-07-05 20:34 C:\ProgramData\Malwarebytes
2022-02-13 18:51 C:\ProgramData\MB3Install
2022-02-13 18:52 C:\ProgramData\McAfee
2022-02-13 18:51 C:\ProgramData\Norton
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [682]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [682]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
FirewallRules: [{726BF0BC-7F4D-4A72-8730-C96C2323A975}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䭄に⹭硥e => Нет файла
FirewallRules: [{32471868-13FF-4473-8C7D-467CA2ECBD54}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{07C2ABA8-073C-43BC-944A-E868A3B6A13D}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{96C19761-E87B-4CCC-B2FE-E24658BE4803}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣橶㘶攮數 => Нет файла
FirewallRules: [TCP Query User{938BF0E4-2A1C-43F7-8537-DDC21251950B}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
FirewallRules: [UDP Query User{1C1E6152-9A15-4D9B-9109-6AC985AB6760}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
FirewallRules: [{7826D684-D72D-4E29-8634-560C4D279FD2}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
FirewallRules: [{AEAD1306-71E6-4F6C-A4AC-264E5977C4E0}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
FirewallRules: [TCP Query User{A78A62C4-5081-432A-94FA-81AC4E88569B}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [UDP Query User{FF01E804-32FD-48A6-A7A0-5D99A5C9C0D1}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
C:\users\user\appdata\roaming\toc



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Николай8911

Николай8911

Опубликовано
  • Автор
Опубликовано (изменено)

Вот

Fixlog.txt

 

На данный момент все возможные антивирусы отключил, вплоть до фаервола. Кроме Касперского ничем не пользуюсь, других антивирусов нет. 

Изменено пользователем Николай8911
Николай8911

Николай8911

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил, теперь в центре уведомлений Касперского только PDM:Trojan.Win32.Bazon.a остался висеть. Попытки его устранить безуспешны.  Располагается по пути С:Programm Data\RealtekHD\taskhost.exe. Перейдя по пути, не нашел папку RealtekHD,возможна скрыта:nea: ах да, чуть на забыл про лог

AV_block_remove_2022.02.15-12.28.log

Изменено пользователем Николай8911
mike 1

mike 1

Опубликовано
Опубликовано

Очистите отчеты антивируса. 

 

Сделайте новые логи frst.txt, addition.txt

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
CHR Notifications: Default -> hxxps://samp-rp.su
CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=adc255ab3a9458fc326308022cea6e60&utm_d=20180406
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Николай8911

Николай8911

Опубликовано
  • Автор
Опубликовано

Трояна больше нет и надеюсь больше не появиться. Проблем со стороны системы нет. Касперский больше не ругается. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ross
      PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic
      Автор Ross
      Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и "патча" Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот 'updater' он и ругался
      кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
      отчёт мониторинга.txt полная проверка каспер(после удаления).txt
    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • Lemmy
      [РЕШЕНО] PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a
      Автор Lemmy
      Скачал "Excel" теперь периодически прилетает репорт от Касперского. Помогите удалить этот вирус
      eeeee.txt
    • raven34
      Вирус PDM:Trojan.Win32.Generic
      Автор raven34
      Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. 
      После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно.

      UPD: Случайно создал тему два раза. Извините 
       
      CollectionLog-2025.09.15-02.46.zip
×
×
  • Создать...