Перейти к содержанию
Правила раздела

Не получается вылечиться от MEM:Trojan-Spy.Win32.Agent.gen

Игорь Нискажу

Автор Игорь Нискажу
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Игорь Нискажу

Игорь Нискажу

Опубликовано
Опубликовано

Собственно ни чего добавить не могу, включаю утром комп и тут сообщение о трояне. Ещё Скайп предложил новую версию использовать, посмотрел, не понравилась, вернулся к классическому. Вот и всё.

CollectionLog-2018.02.20-18.28.zip

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\SIV\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\SIV\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFileF('c:\users\siv\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\SIV\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\SIV\AppData\Roaming\curl\curl_7_54.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFileMask('c:\users\siv\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\siv\appdata\roaming\curl');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

Игорь Нискажу

Игорь Нискажу

Опубликовано
  • Автор
Опубликовано

virusinfo отправил.

Скрипт выполнил

quarantine.zip отправил

KLAN-7670429150

Ответили что отправили на исследование. (Только я посмотрел в архив, он был пустой, отправил по инструкции)

Провёл повторную диагностику.

 

Результат: ничего не изменилось. Троян как сидел, так и сидит в памяти.

ClearLNK-21.02.2018_13-03.log

CollectionLog-2018.02.21-13.33.zip

regist

regist

Опубликовано
Опубликовано (изменено)

virusinfo отправил.

ссылку на отчёт или хотя бы MD5 просьба укажите.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('wfcre', 4);
 StopService('wfcre');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
 DeleteService('wfcre');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Игорь Нискажу

Игорь Нискажу

Опубликовано
  • Автор
Опубликовано

Отвлёкся на работу, забыл что антивирус выключил.

Включаю, пишет "обнаружена угроза" (та же) нажимаю "лечить"... Всё, вылечил, трояна нет. Перезагрузил комп, запустил полную проверку... Проверяет, пока всё чисто.

Спасибо.

Так где я мог его подцепить? Вроде по неизвестным мне сайтам не лазаю. 

regist

regist

Опубликовано
Опубликовано (изменено)

Так где я мог его подцепить?

это вам лучше знать, мне тоже интересно :) . Может скачали какой подозрительный файл и запустили.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

и не забудьте сменить пароли.

Изменено пользователем regist
Игорь Нискажу

Игорь Нискажу

Опубликовано
  • Автор
Опубликовано

Выполнил скрипт в AVZ.

Он буквально сразу написал: "Часто используемые уязвимости не обнаружены".

Так что, всё хорошо. Сейчас избавлюсь от лечебных инструментов и всё.

Спасибо большое!!!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...