Не получается вылечиться от MEM:Trojan-Spy.Win32.Agent.gen

[Игорь Нискажу 0]

Собственно ни чего добавить не могу, включаю утром комп и тут сообщение о трояне. Ещё Скайп предложил новую версию использовать, посмотрел, не понравилась, вернулся к классическому. Вот и всё.

CollectionLog-2018.02.20-18.28.zip

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\SIV\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\SIV\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFileF('c:\users\siv\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\SIV\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\SIV\AppData\Roaming\curl\curl_7_54.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFileMask('c:\users\siv\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\siv\appdata\roaming\curl');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

[Игорь Нискажу 0]

virusinfo отправил.

Скрипт выполнил

quarantine.zip отправил

KLAN-7670429150

Ответили что отправили на исследование. (Только я посмотрел в архив, он был пустой, отправил по инструкции)

Провёл повторную диагностику.

 

Результат: ничего не изменилось. Троян как сидел, так и сидит в памяти.

ClearLNK-21.02.2018_13-03.log

CollectionLog-2018.02.21-13.33.zip

[regist 617]

virusinfo отправил.

ссылку на отчёт или хотя бы MD5 просьба укажите.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('wfcre', 4);
 StopService('wfcre');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
 DeleteService('wfcre');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 21 февраля, 2018 пользователем regist

[Игорь Нискажу 0]

md5=3636ED5E5CC8548F4CB329562D231621

 

Файла quarantine.zip в папке AVZ не оказалось

 

 

CollectionLog-2018.02.21-14.46.zip

[regist 617]

Что с проблемой?
 

[Игорь Нискажу 0]

Отвлёкся на работу, забыл что антивирус выключил.

Включаю, пишет "обнаружена угроза" (та же) нажимаю "лечить"... Всё, вылечил, трояна нет. Перезагрузил комп, запустил полную проверку... Проверяет, пока всё чисто.

Спасибо.

Так где я мог его подцепить? Вроде по неизвестным мне сайтам не лазаю. 

[regist 617]

Так где я мог его подцепить?

это вам лучше знать, мне тоже интересно . Может скачали какой подозрительный файл и запустили.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

и не забудьте сменить пароли.

Изменено 21 февраля, 2018 пользователем regist

[Игорь Нискажу 0]

Выполнил скрипт в AVZ.

Он буквально сразу написал: "Часто используемые уязвимости не обнаружены".

Так что, всё хорошо. Сейчас избавлюсь от лечебных инструментов и всё.

Спасибо большое!!!