PDM:Trojan.Win32.Bazon.a

[Николай8911]

Подхватил его, неосторожно скачав что-то с сайта. Создает ещё 2 Трояна, а именно HEUR:Trojan.Script.Cliptomaner.gen и HEUR:Trojan.Win32.Convagent.gen.

 

CollectionLog-2022.02.14-00.19.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\updater.py','');
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\ipyw64.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\dkk0m.exe');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\vj66.exe');
 QuarantineFile('c:\users\user\appdata\roaming\toc\vj66.exe','');
 DeleteFile('c:\users\user\appdata\roaming\toc\vj66.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\toc\dkk0m.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x64');
 DeleteFile('C:\Windows\Temp\csqCveJmNfCLKRVk\rflQKUPCdYwSNDk\XZuxXvx.exe','32');
 DeleteSchedulerTask('nrHfqqxkNrzstFVpv.job');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Сделайте новые логи Автологгером. 
 

Изменено 13 февраля, 2022 пользователем mike 1

[Николай8911]

CollectionLog-2022.02.14-12.59.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Николай8911]

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:  в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
   2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\Users\User\ntuser.pol
   2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\ProgramData\ntuser.pol
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\McAfee
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\grizzly
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\ESET
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Doctor Web
   Unblock: C:\Program Files\Kaspersky Lab
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\ESET
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Common Files\McAfee
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Cezurity
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Panda Security
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Cezurity
   2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 ____D C:\ProgramData\Avira
   2022-02-13 18:51 - 2022-02-14 00:16 - 000000000 __SHD C:\ProgramData\Setup
   2022-02-13 18:51 - 2022-02-14 00:10 - 000000000 __SHD C:\ProgramData\WindowsTask
   2022-02-13 18:51 - 2022-02-13 23:51 - 000000000 __SHD C:\ProgramData\RealtekHD
   2022-02-13 18:51 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Install
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\RunDLL
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\Norton
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\AVAST Software
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\360safe
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\SpyHunter
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\Enigma Software Group
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\COMODO
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\ByteFence
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVG
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVAST Software
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVG
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\360
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\KVRT_Data
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\Windows\speechstracing
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\System32
   2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\MB3Install
   2020-11-16 10:08 C:\AdwCleaner
   2022-02-13 18:51 C:\KVRT_Data
   2022-02-13 18:51 C:\Program Files\AVAST Software
   2022-02-13 18:51 C:\Program Files\AVG
   2022-02-13 18:51 C:\Program Files\ByteFence
   2022-02-13 18:52 C:\Program Files\Cezurity
   2022-02-13 18:51 C:\Program Files\COMODO
   2022-02-13 18:51 C:\Program Files\Enigma Software Group
   2022-02-13 18:52 C:\Program Files\ESET
   2019-12-09 20:50 C:\Program Files\Malwarebytes
   2022-02-13 18:51 C:\Program Files\SpyHunter
   2022-02-13 18:51 C:\Program Files (x86)\360
   2022-02-13 18:51 C:\Program Files (x86)\AVAST Software
   2022-02-13 18:51 C:\Program Files (x86)\AVG
   2022-02-13 18:52 C:\Program Files (x86)\Cezurity
   2022-02-13 18:52 C:\Program Files (x86)\GRIZZLY Antivirus
   Unblock: C:\Program Files (x86)\Kaspersky Lab
   2022-02-13 18:51 C:\Program Files (x86)\Microsoft JDX
   2022-02-13 18:52 C:\Program Files (x86)\Panda Security
   2022-02-13 18:51 C:\Program Files (x86)\SpyHunter
   2022-02-13 18:51 C:\Windows\speechstracing
   2022-02-13 18:52 C:\Program Files\Common Files\McAfee
   2022-02-13 18:51 C:\ProgramData\360safe
   2022-02-13 18:51 C:\ProgramData\AVAST Software
   2022-02-13 18:52 C:\ProgramData\Avira
   2022-02-13 18:52 C:\ProgramData\Doctor Web
   2022-02-13 18:52 C:\ProgramData\ESET
   2022-02-13 18:52 C:\ProgramData\grizzly
   2019-11-25 18:04 C:\ProgramData\Info
   Unblock: C:\ProgramData\Kaspersky Lab Setup Files
   2021-07-05 20:34 C:\ProgramData\Malwarebytes
   2022-02-13 18:51 C:\ProgramData\MB3Install
   2022-02-13 18:52 C:\ProgramData\McAfee
   2022-02-13 18:51 C:\ProgramData\Norton
   AlternateDataStreams: C:\ProgramData:NT [40]
   AlternateDataStreams: C:\ProgramData:NT2 [682]
   AlternateDataStreams: C:\Users\All Users:NT [40]
   AlternateDataStreams: C:\Users\All Users:NT2 [682]
   AlternateDataStreams: C:\Users\Все пользователи:NT [40]
   AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
   AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
   AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
   AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
   AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
   AlternateDataStreams: C:\Users\User\Application Data:NT [40]
   AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
   AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
   AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
   FirewallRules: [{726BF0BC-7F4D-4A72-8730-C96C2323A975}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䭄に⹭硥e => Нет файла
   FirewallRules: [{32471868-13FF-4473-8C7D-467CA2ECBD54}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
   FirewallRules: [{07C2ABA8-073C-43BC-944A-E868A3B6A13D}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
   FirewallRules: [{96C19761-E87B-4CCC-B2FE-E24658BE4803}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣橶㘶攮數 => Нет файла
   FirewallRules: [TCP Query User{938BF0E4-2A1C-43F7-8537-DDC21251950B}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
   FirewallRules: [UDP Query User{1C1E6152-9A15-4D9B-9109-6AC985AB6760}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
   FirewallRules: [{7826D684-D72D-4E29-8634-560C4D279FD2}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
   FirewallRules: [{AEAD1306-71E6-4F6C-A4AC-264E5977C4E0}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
   FirewallRules: [TCP Query User{A78A62C4-5081-432A-94FA-81AC4E88569B}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
   FirewallRules: [UDP Query User{FF01E804-32FD-48A6-A7A0-5D99A5C9C0D1}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
   C:\users\user\appdata\roaming\toc

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[Николай8911]

Вот

Fixlog.txt

 

На данный момент все возможные антивирусы отключил, вплоть до фаервола. Кроме Касперского ничем не пользуюсь, других антивирусов нет. 

Изменено 14 февраля, 2022 пользователем Николай8911

[mike 1]

Скачайте и запустите от имени Администратора https://www.safezone.cc/resources/av-block-remover-avbr.224/

[Николай8911]

Выполнил, теперь в центре уведомлений Касперского только PDM:Trojan.Win32.Bazon.a остался висеть. Попытки его устранить безуспешны.  Располагается по пути С:Programm Data\RealtekHD\taskhost.exe. Перейдя по пути, не нашел папку RealtekHD,возможна скрыта ах да, чуть на забыл про лог

AV_block_remove_2022.02.15-12.28.log

Изменено 15 февраля, 2022 пользователем Николай8911

[mike 1]

Очистите отчеты антивируса. 

 

Сделайте новые логи frst.txt, addition.txt

[Николай8911]

Отчеты удалил, и троян ушел из центра уведомлений. 

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   CHR Notifications: Default -> hxxps://samp-rp.su
   CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=adc255ab3a9458fc326308022cea6e60&utm_d=20180406
   S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
   S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 20 февраля, 2022 пользователем mike 1

[Николай8911]

Fixlog.txt

[mike 1]

Что с проблемой?

[Николай8911]

Трояна больше нет и надеюсь больше не появиться. Проблем со стороны системы нет. Касперский больше не ругается.