Перейти к содержанию
Правила раздела

Как удалить MEM:Trojan-Spy.Win32.Agent.gen.

Doblovod

Автор Doblovod,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Sandor

Sandor 1 252

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 72
  • Created
  • Последний ответ

Top Posters In This Topic

  • Doblovod

    36

  • Sandor

    19

  • regist

    18

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Sandor

Sandor 1 252

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
delref %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\FAST SEARCH
bl 12F076B223960034B10BDF28AF61EC1E 570960
zoo %SystemDrive%\TIEM.TXT
delall %SystemDrive%\TIEM.TXT
zoo %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\TEMP\FCYCDDIG.EXE
bl B5EF8DC1FB7026FB4EB0E6477452BC61 505856
addsgn 1A830A9A55834C720BD4C4A50CB06A4325625AB889FAF78EF5C3C5B3E7261B4ECB15BE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.Win32.Agent.hhqm [Kaspersky] 7

chklst
delvir

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Соберите новый лог uVS.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Лезет через уязвимости, поэтому давайте их проверим:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Запускали именно файл AutoLogger-test.exe ?

На всякий случай, удалите папку Autologger вместе с содержимым и повторите еще раз запуск указанного файла. Полученный архив CollectionLog прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('ebsenthi.sys');
 StopService('rktzlatjq.sys');
 QuarantineFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', '');
 QuarantineFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', '');
 DeleteFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', '64');
 DeleteFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', '64');
 DeleteService('crbkmoffx.sys');
 DeleteService('ebsenthi.sys');
 DeleteService('kfkignmwu.sys');
 DeleteService('kmjysfuzo.sys');
 DeleteService('rktzlatjq.sys');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Настройки антивируса сделайте так, как описано в этой статье - https://support.kaspersky.ru/13639

Затем обновите базы продукта и запустите Быструю проверку. Найденные угрозы удалите (лечение активного заражения с перезагрузкой).

Ссылка на сообщение
Поделиться на другие сайты
Doblovod

Doblovod 0

Опубликовано
  • Автор
Опубликовано

Компьютер не перезагружается после выполнения скрипта.

После принудительного выключения и включения он запускается.

 

Или в безопасном режиме запустить скрипт?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Повторно выполнять скрипт не нужно. А повторный CollectionLog сделайте.

Также сделайте предложенные настройки антивируса.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...