Перейти к содержанию
Правила раздела

Проблема с MEM:Trojan-Spy.Win32.Agent.gen

Екатерина Белозерцева

Автор Екатерина Белозерцева
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
Опубликовано

Здравствуйте!

Касперский обнаружил MEM:Trojan-Spy.Win32.Agent.gen. Лечение не помогает. После перезагрузки вирус снова обнаруживается в системной памяти.

Также проверяла Dr.Web CureIt!.- он его не находит, в том числе при проверке с загрузочной флэшки.

 

Перед началом перезагрузки выбивает сообщение: ***.dll (разные имена файлов) не предназначен для windows.

Дважды после перезагрузки переставали открываться любые файлы на диске С.

 

CollectionLog-2018.02.20-17.39.zip

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

 

# AdwCleaner v4.202 - Отчёт создан 24/04/2015 в 00:08:50

 

1) Деинсталируйте утилиту кнопкой Uninstall (Деинсталлировать).

2) Скачайте актуальную версию по ссылке, что я дал и сделайте лог как написано выше.

Ссылка на комментарий
Поделиться на другие сайты
Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
  • Автор
Опубликовано

Извините, прошлый лог остался от давней работы уже удаленной программы

Прикрепляю актуальный

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
  • Автор
Опубликовано

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

Прикрепляю логи. Окна о деятельности руткита не было.

AdwCleanerC0.txt

gmer_log_2018-02-21.log

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('wfcre');
 QuarantineFile('C:\windows\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32');
 DeleteService('wfcre');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Ссылка на комментарий
Поделиться на другие сайты
Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('wfcre');
 QuarantineFile('C:\windows\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32');
 DeleteService('wfcre');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

Спасибо за советы и помощь!

Файл quarantine.zip отправила с помощью формы. Прикрепляю логи повторной диагностики.

adwcleaner.exe удалила.

CollectionLog-2018.02.21-23.05.zip

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

@Екатерина Белозерцева, хватит заниматься оверковотингом. Это затрудняет чтение и запрещено правилами форума.

А для ответа есть поле быстрого ответа внизу. Если хотите что-то процитировать пользуйтесь цитатой выделенного.


смените пароли!

 

Что с проблемой?
 

Ссылка на комментарий
Поделиться на другие сайты
Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
  • Автор
Опубликовано

@regist, вас поняла. 

Спасибо за помощь!

После 15 мин зависания процесса обработки найденного трояна Касперский перестал детектировать эту проблему.

 

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты
Екатерина Белозерцева

Екатерина Белозерцева

Опубликовано
  • Автор
Опубликовано

@regist, выполнено, уязвимостей не обнаружено.

Рекомендации выполню.

Благодарю за помощь! 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Readkey11
      Проблема авторизации с доменной учетной записью в ksc linux
      Автор Readkey11
      Добрый день, подскажите пожалуйста касаемо использования доменной уз для авторизации в веб-консоли на кластер KSC 15.1 linux
      Настроил опрос домена, получил информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
      Назначил доменной уз роль главного администратора на сервере KSC
      При попытке авторизации после длительного таймаута получаю сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)
      Порт 389 доступен, контроллер домена развернут на samba
      На нодах выполнил команду, для отключения принудительной проверки сертификатов
      sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT_AUTH -t d -v 0
      Также пробовал настраивать опрос домена с помощью точки распространения на ос Linux, ошибка та же.
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
×
×
  • Создать...