HEUR:Trojan.Win32.Generic [HEUR:Trojan.Win32.Generic ]

**djakomini** · 30.10.2017, 11:23

Доброго времени суток.
С недавних пор после как слетел ключ на kis 2017, поймал вирусняк, который активировался это после активации нового ключа. вроде все почистил и просканил, но остался один вирус, кис удалить этот фирус не может. Прошу помощи. логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.10.2017, 11:24

Уважаемый(ая) djakomini, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 03.11.2017, 21:19

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=296d08333e984867f1f622614750dcc4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=296d08333e984867f1f622614750dcc4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=296d08333e984867f1f622614750dcc4&text=

- Подготовьте лог AdwCleaner и приложите его в теме.

**djakomini** · 06.11.2017, 09:46

Доброго времени суток.

SQ · 06.11.2017, 15:47

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**djakomini** · 07.11.2017, 09:47

Доброго времени суток.

SQ · 07.11.2017, 10:38

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**djakomini** · 07.11.2017, 11:04

Готово!

SQ · 07.11.2017, 11:15

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbhjdbfgekjfcfkkfjjmlmojhbllhbho [2017-10-10]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-13]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-10-10]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM\...\Chrome\Extension: [nphbmanpfjfdngbaamhajooihmjacmfe] - hxxps://clients2.google.com/service/update2/crx?response=redirect\\&x=id%3Dnphbmanpfjfdngbaamhajooihmjacmfe%26uc%26lang%3Den-US&prod=chrome"
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
File: C:\ProgramData\UserProfileMigrationService.exe
Task: {2C63806F-B1AD-4B79-9FD7-E6E549AAE9FE} - \top5newsorgenorsm -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://dzapas.ru/?utm_source=startlink03&utm_term=19368F40DC6701EBE9DC3087D7752BC9"
ShortcutWithArgument: C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://dzapas.ru/?utm_source=startlink03&utm_term=19368F40DC6701EBE9DC3087D7752BC9"
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [176]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [132]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [176]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [132]
MSCONFIG\startupreg: qyydhogzsg => 
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**djakomini** · 07.11.2017, 12:12

Готово!

ps: kis еще ругается на этот вирус.

SQ · 07.11.2017, 12:22

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Уточните пожалуйста, ругается на следующие приложения (активатор Windows)?

Код:

() C:\Windows\System32\srvany.exe
() C:\Windows\kmsem\KMService.exe

**djakomini** · 07.11.2017, 14:18

Готово!

ps: Winda лицензионная

файл C:\Windows\System32\srvany.exe проверил на сайте вирустотал - норм.

SQ · 08.11.2017, 18:28

Выполните скрипт в uVS:

Код:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemRoot%\REGEDIT.EXE
zoo %SystemRoot%\KMSEM\KMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
restart

**djakomini** · 09.11.2017, 05:57

Доброго времени суток !

Скрипт выполнен.
Согласно инструкции заархивировал файл ZOO и загрузил в карантин вверху темы.

SQ · 10.11.2017, 04:05

Уточните, что с проблемой?

**djakomini** · 10.11.2017, 05:58

Доброго времени суток!
При попытке устранить HEUR:Trojan.Win32.Generic (расположение файла - C:\Windows\System32\FXSCOVER.exe) в KIS он предлагает пропустить или добавить в исключения.

SQ · 11.11.2017, 02:35

Сообщение от djakomini

Доброго времени суток!
При попытке устранить HEUR:Trojan.Win32.Generic (расположение файла - C:\Windows\System32\FXSCOVER.exe) в KIS он предлагает пропустить или добавить в исключения.

в логах указанный файл не встречал, покажите результат проверки на virustotal.com

**djakomini** · 13.11.2017, 09:29

Доброго времени суток!

При попытке вставить файл на сайте вирус тотал, пишет, что у меня нет соответствующих прав доступа к данному файлу.

SQ · 14.11.2017, 08:53

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\FXSCOVER.exe
Zip: C:\Windows\System32\FXSCOVER.exe
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Файл карантина вида <дата>_<время>.zip с рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**djakomini** · 15.11.2017, 13:01

Доброго времени суток!
Лог файл приложил.
Прошу уточнить относительно вставки файла карантина.
Его с какой программы создать ?
т.к. программа FRST данного рода карантин мне не создала.

HEUR:Trojan.Win32.Generic [HEUR:Trojan.Win32.Generic ] (заявка № 216033)

Опции темы