Не получается вылечиться от MEM:Trojan-Spy.Win32.Agent.gen

[Левченко Евгений 0]

Здравствуйте!

Касперский обнаружил MEM:Trojan-Spy.Win32.Agent.gen. Лечение не помогает. После перезагрузки вирус снова обнаруживается в системной памяти.
 

Перед началом перезагрузки выбивает сообщение: ole32.dll (первый раз вроде бы другой файлик был указан) не предназначен для виндовс или что-то такое. Так же, после очередной попытки начать лечение в правом нижнем уголке было сообщение, что моя версия виндовс не является подлинной. Хотя покупал ноутбук с лицензионной. Система не часто, но обновляется с оф. сайта майкрософт.

 

Так же, возможно это будет важно:
Иногда процесс lsass.exe забирает много мощности процессора. Где-то с лета такое началось. Именно поэтому и приобрел касперского. Правда, ничего такого не нашел (до сегодняшнего дня). 

 

CollectionLog-2018.02.20-16.22.zip

[thyrex 1 468]

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Windows\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job','32');
 DeleteFile('C:\Program Files (x86)\YueAckU\gzGKqSo.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F','64');
 DeleteFile('C:\Windows\system32\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2','64');
 DeleteFile('C:\Windows\system32\Tasks\{0BFA1AE0-0750-4BB8-A6D4-8903B576ED85}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Левченко Евгений 0]

Готово

CollectionLog-2018.02.20-17.30.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Левченко Евгений 0]

Готово

Desktop.rar

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\home\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
SearchScopes: HKU\S-1-5-21-1549179400-3702700982-1377303823-1000 -> 2335C1D9D4C94D36D8C275E57C0811EB URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3275GSX_1281C64VTXX1281C64VT&ts=1437565783&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1549179400-3702700982-1377303823-1000 -> 26D9DA2B844302A3834AAA1DDDA84ABA URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3275GSX_1281C64VTXX1281C64VT&ts=1437565783&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1549179400-3702700982-1377303823-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3275GSX_1281C64VTXX1281C64VT&ts=1437565783&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1549179400-3702700982-1377303823-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3275GSX_1281C64VTXX1281C64VT&ts=1437565783&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1549179400-3702700982-1377303823-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3275GSX_1281C64VTXX1281C64VT&ts=1437565783&type=default&q={searchTerms}
GroupPolicy: Restriction - Chrome <==== ATTENTION
Task: {8ADE7742-380F-4A22-A911-0F4A420E1D49} - \Microsoft\Windows\Media Center\VideoFetcher -> No File <==== ATTENTION
Task: {78E96AC2-0F6D-4468-915B-989794979D24} - System32\Tasks\WinTsks => C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe <==== ATTENTION
Task: {979150E2-292D-480E-AEAC-B1DEB33FDA00} - \{0BFA1AE0-0750-4BB8-A6D4-8903B576ED85} -> No File <==== ATTENTION
Task: {9CBA0383-4834-4703-9154-0DF7C004BBE8} - \A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F2 -> No File <==== ATTENTION
Task: {AAA80234-D32F-4350-9B69-EDBBD6BB7D46} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {C14CD8F9-851A-49B7-91C6-4F170F90C9CF} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe <==== ATTENTION
Task: {DD15FEE6-B68B-4F46-BBE2-2837CE6F88AE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {EE5410C5-E587-4843-856E-EB9904E6B0E8} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\E10DAF8117398BB082749758977B04D9\Update\BrowserUpdate.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [304]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [274]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [304]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [274]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Левченко Евгений 0]

Готово

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[Левченко Евгений 0]

Нет, не решена. 

Дополнительно вот такое вот уведомление добавилось, файлик vdi4nja.sys. Его тоже KVRT начал обнаруживать  (скрин). Это опасная вещь? Ее тоже нужно пробовать лечить?

Изменено 21 февраля, 2018 пользователем Левченко Евгений

[thyrex 1 468]

 

 

файлик vdi4nja.sys

Это вообще драйвер AVZ

 

Сделайте лог МВАМ

[Левченко Евгений 0]

 

файлик vdi4nja.sys

Это вообще драйвер AVZ

 

Сделайте лог МВАМ

 

Готово. Malwarebytes нашел кучу всякой гадости типа Adware и других.

Malwarebytes результат.txt

Изменено 21 февраля, 2018 пользователем Левченко Евгений

[Левченко Евгений 0]

Долго гнобил malwarebytes вирусов. После перезагрузки еще раз его запустил и он нашел одну угрозу в недрах Аppdata (в папке firefox). Его тоже не мог удалить очень долго. В итоге я не выдержал и руками через unlocker истребил. После, еще раз запустил malwarebytes - ничего уже не нашел. KVRT тоже ничего не нашел. Касперский перестал ругаться на Trojan-Spy.Win32.Agent.gen.  Правда , появилась еще одна штука в центре уведомлений - файлик UtilsCore.dll. Так же само идентифицирует, как драйвер AVZ. Я так понимаю это тоже что-то полезное?

Firefox теперь состоит из 5ти разных процессов, что это? Я заметил , когда malwarebytes истреблял вирусы, то начали открываться новые процессы firefox. Правда, они не занимали много памяти. А тут 5 процессов и все занимают пристойно памяти.

 

Что-то еще нужно делать?

Изменено 21 февраля, 2018 пользователем Левченко Евгений

[thyrex 1 468]

Удалите МВАМ.

Сделайте лог AdwCleaner

[Левченко Евгений 0]

Готово

 

---------------
P.S. - Я не выбирал специально "запуск от имени администратора". Но у меня всегда подтверждение "контроль учетных записей пользователей спрашивает". На всякий случай запустил еще раз "от имени администратора" (прикрепил второй отчет - AdwCleaner[С1].txt)

AdwCleanerC0.txt

AdwCleanerC1.txt

Изменено 21 февраля, 2018 пользователем Левченко Евгений

[thyrex 1 468]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.