Перейти к содержанию

PDM:Trojan.Win32.Bazon.a


Рекомендуемые сообщения

Подхватил его, неосторожно скачав что-то с сайта. Создает ещё 2 Трояна, а именно HEUR:Trojan.Script.Cliptomaner.gen и HEUR:Trojan.Win32.Convagent.gen.

 

CollectionLog-2022.02.14-00.19.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\updater.py','');
 QuarantineFile('C:\ProgramData\IronPython-2.7.5\ipyw64.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\dkk0m.exe');
 TerminateProcessByName('c:\users\user\appdata\roaming\toc\vj66.exe');
 QuarantineFile('c:\users\user\appdata\roaming\toc\vj66.exe','');
 DeleteFile('c:\users\user\appdata\roaming\toc\vj66.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\toc\dkk0m.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Python version updater','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x64');
 DeleteFile('C:\Windows\Temp\csqCveJmNfCLKRVk\rflQKUPCdYwSNDk\XZuxXvx.exe','32');
 DeleteSchedulerTask('nrHfqqxkNrzstFVpv.job');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:  в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\Users\User\ntuser.pol
    2022-02-13 23:00 - 2022-02-13 23:00 - 000000258 __RSH C:\ProgramData\ntuser.pol
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\McAfee
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\grizzly
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\ESET
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Doctor Web
    Unblock: C:\Program Files\Kaspersky Lab
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\ESET
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files\Cezurity
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2022-02-13 18:52 - 2022-02-13 18:52 - 000000000 ____D C:\ProgramData\Avira
    2022-02-13 18:51 - 2022-02-14 00:16 - 000000000 __SHD C:\ProgramData\Setup
    2022-02-13 18:51 - 2022-02-14 00:10 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-02-13 18:51 - 2022-02-13 23:51 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-02-13 18:51 - 2022-02-13 18:52 - 000000000 __SHD C:\ProgramData\Install
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\Norton
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\AVAST Software
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\ProgramData\360safe
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\SpyHunter
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\COMODO
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\ByteFence
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVG
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files\AVAST Software
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVG
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\Program Files (x86)\360
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 __SHD C:\KVRT_Data
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\Windows\speechstracing
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\System32
    2022-02-13 18:51 - 2022-02-13 18:51 - 000000000 ____D C:\ProgramData\MB3Install
    2020-11-16 10:08 C:\AdwCleaner
    2022-02-13 18:51 C:\KVRT_Data
    2022-02-13 18:51 C:\Program Files\AVAST Software
    2022-02-13 18:51 C:\Program Files\AVG
    2022-02-13 18:51 C:\Program Files\ByteFence
    2022-02-13 18:52 C:\Program Files\Cezurity
    2022-02-13 18:51 C:\Program Files\COMODO
    2022-02-13 18:51 C:\Program Files\Enigma Software Group
    2022-02-13 18:52 C:\Program Files\ESET
    2019-12-09 20:50 C:\Program Files\Malwarebytes
    2022-02-13 18:51 C:\Program Files\SpyHunter
    2022-02-13 18:51 C:\Program Files (x86)\360
    2022-02-13 18:51 C:\Program Files (x86)\AVAST Software
    2022-02-13 18:51 C:\Program Files (x86)\AVG
    2022-02-13 18:52 C:\Program Files (x86)\Cezurity
    2022-02-13 18:52 C:\Program Files (x86)\GRIZZLY Antivirus
    Unblock: C:\Program Files (x86)\Kaspersky Lab
    2022-02-13 18:51 C:\Program Files (x86)\Microsoft JDX
    2022-02-13 18:52 C:\Program Files (x86)\Panda Security
    2022-02-13 18:51 C:\Program Files (x86)\SpyHunter
    2022-02-13 18:51 C:\Windows\speechstracing
    2022-02-13 18:52 C:\Program Files\Common Files\McAfee
    2022-02-13 18:51 C:\ProgramData\360safe
    2022-02-13 18:51 C:\ProgramData\AVAST Software
    2022-02-13 18:52 C:\ProgramData\Avira
    2022-02-13 18:52 C:\ProgramData\Doctor Web
    2022-02-13 18:52 C:\ProgramData\ESET
    2022-02-13 18:52 C:\ProgramData\grizzly
    2019-11-25 18:04 C:\ProgramData\Info
    Unblock: C:\ProgramData\Kaspersky Lab Setup Files
    2021-07-05 20:34 C:\ProgramData\Malwarebytes
    2022-02-13 18:51 C:\ProgramData\MB3Install
    2022-02-13 18:52 C:\ProgramData\McAfee
    2022-02-13 18:51 C:\ProgramData\Norton
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [682]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [682]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
    AlternateDataStreams: C:\Users\User\Application Data:NT [40]
    AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
    FirewallRules: [{726BF0BC-7F4D-4A72-8730-C96C2323A975}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䭄に⹭硥e => Нет файла
    FirewallRules: [{32471868-13FF-4473-8C7D-467CA2ECBD54}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{07C2ABA8-073C-43BC-944A-E868A3B6A13D}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{96C19761-E87B-4CCC-B2FE-E24658BE4803}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣橶㘶攮數 => Нет файла
    FirewallRules: [TCP Query User{938BF0E4-2A1C-43F7-8537-DDC21251950B}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
    FirewallRules: [UDP Query User{1C1E6152-9A15-4D9B-9109-6AC985AB6760}D:\grey hack v0.7.4122\grey hack.exe] => (Block) D:\grey hack v0.7.4122\grey hack.exe => Нет файла
    FirewallRules: [{7826D684-D72D-4E29-8634-560C4D279FD2}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
    FirewallRules: [{AEAD1306-71E6-4F6C-A4AC-264E5977C4E0}] => (Allow) C:\Users\User\Downloads\PlayCombatarms.exe => Нет файла
    FirewallRules: [TCP Query User{A78A62C4-5081-432A-94FA-81AC4E88569B}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
    FirewallRules: [UDP Query User{FF01E804-32FD-48A6-A7A0-5D99A5C9C0D1}C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe] => (Block) C:\users\user\appdata\roaming\toc\chrome\application\chrome.exe (Google LLC -> Google LLC)
    C:\users\user\appdata\roaming\toc



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Вот

Fixlog.txt

 

На данный момент все возможные антивирусы отключил, вплоть до фаервола. Кроме Касперского ничем не пользуюсь, других антивирусов нет. 

Изменено пользователем Николай8911
Ссылка на сообщение
Поделиться на другие сайты

Выполнил, теперь в центре уведомлений Касперского только PDM:Trojan.Win32.Bazon.a остался висеть. Попытки его устранить безуспешны.  Располагается по пути С:Programm Data\RealtekHD\taskhost.exe. Перейдя по пути, не нашел папку RealtekHD,возможна скрыта:nea: ах да, чуть на забыл про лог

AV_block_remove_2022.02.15-12.28.log

Изменено пользователем Николай8911
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    CHR Notifications: Default -> hxxps://samp-rp.su
    CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=adc255ab3a9458fc326308022cea6e60&utm_d=20180406
    S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
    S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Трояна больше нет и надеюсь больше не появиться. Проблем со стороны системы нет. Касперский больше не ругается. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ross
      От Ross
      Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и "патча" Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот 'updater' он и ругался
      кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
      отчёт мониторинга.txt полная проверка каспер(после удаления).txt
    • rotor33
      От rotor33
      Добрый день. Видимо инфицировался через фишинговый сайт  " https://nvflash.ru/ "
      скачав архив с поддельным nvflash . О заражении понял когда утекла seed фраза metamusk и вместе с ней все средства с кошелька. При первичном сканировании Kaspersky Threat Intelligence Portal нашел PDM:Trojan.Win32.Bazon.a и еще два троян generic . Файл в сердцах удалил, при последующем скачивании nvflash в нем ни один антивирус ничего не находит. Вопрос могу ли я сейчас систему считать безопасной? Заранее спасибо, надеюсь на Вашу помощь.
       

      CollectionLog-2022.08.07-11.22.zip
    • Sergeijs
      От Sergeijs
      Появилась такая проблемка со вчерашнего дня. Каждый 2-3 часа Касперский удаляет из памяти Pdm:trojan.win32.Bazon.a - http://prntscr.com/ap4gzj
       
      Полная проверка системы ничего не выявило, последствия пока только одни - проблемы с языковой панелью.
      KL_syscure.zip
×
×
  • Создать...