Проблема MEM:Trojan-Spy.Win32.Agent.gen

[Дрон 0]

 MEM:Trojan-Spy.Win32.Agent.gen системная память. Обнаружен и не лечится и не удаляется.

[Sandor 1 253]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Дрон 0]

Прошу прощения не прикрепил лог

Еще раз

CollectionLog-2018.02.22-14.34.zip

[Sandor 1 253]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

MediaGet

Unity Web Player

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\0db4635f-eb22-462b-859a-06224b38f844', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0DB4635F-EB22-462B-859A-06224B38F844" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UnregisterNonABICompliantCodeRange" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Андрей\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Дрон 0]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wx0EC1.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

KLAN-7674924173

Новые логи

CollectionLog-2018.02.22-15.17.zip

[Sandor 1 253]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дрон 0]

AdwCleaner отчет

AdwCleanerS0.txt

[Sandor 1 253]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дрон 0]

Далее

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 253]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476787665&z=f941fd0a2ab6fee504841b3gfzdm6q1m0b0m1qdqdo&from=amule1017&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1F51EB10-C77F-4E04-A261-431534F1225D%7D&gp=811014
  Edge HomeButtonPage: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476179780&z=dc243f816e70d89d810beefgbzdmfq8gcm3t3mdm5g&from=che0812&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL
  FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-11-19] [Legacy] [not signed]
  C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
  C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb
  ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
  ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
  ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
  Task: {4AEEDD6B-5687-4B27-8B6E-23E3FF62A1C9} - System32\Tasks\Microsoft\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
  Task: {4D33284D-805E-45B1-934B-BBE4E8A36BAC} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
  Task: {547D0EB7-99D8-4580-A380-914316857355} - System32\Tasks\86Y5012J8186s805 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\86Y5012J8186s805\86Y5012J8186s805.dll",YJsAclNDc <==== ATTENTION
  Task: {70C2CE65-0AA5-4051-9C8B-6F8D9474C7AE} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429SB => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  Online.io Application (HKLM-x32\...\{F0847AE0-465A-4D7B-A555-AABB43B550F0}) (Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появится

Online.io Application

Если не самостоятельно устанавливали, удалите.

[Дрон 0]

Далее

Fixlog.txt

[Sandor 1 253]

Что с проблемой?

[Дрон 0]

Проблема осталась. Новые логи AutoLogger прикрепляю

CollectionLog-2018.02.23-07.57.zip

[Дрон 0]

Свежие логи

CollectionLog-2018.02.24-14.02.zip

[regist 617]

1) TektonIT RMS - сами ставили?

2) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file)
O22 - Task: Anofotion Collector - C:\Program Files (x86)\Gronuchcoaregh\bemition.exe 9e42fd65-140a-43eb-b4cd-52bffcdf0d7e (file missing)
O22 - Task: Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task: Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task: Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)
O22 - Task: Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task: Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task: Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task: \Microsoft\188D349961AE55BD7C2FB46A6C2CF429SB - C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe /S --safebrowser (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

3)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.