Проблема с MEM:Trojan-Spy.Win32.Agent.gen

[Павел Буткевич]

Здравствуйте.

 

Был обнаружен Троян MEM:Trojan-Spy.Win32.Agent.gen, после лечения Антивирусом Касперского антивирус снова находит его.

Утилита Kaspersky Virus Removal Tool 2015 так же после удаления с перезагрузкой повторно находит этого траяна

 

 

CollectionLog-2018.02.20-21.58.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Magic U\Magic U.dll', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
 ClearHostsFile;
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Pavel\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Отправить в OneNote - C:\Program Files\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - OneNote Lin&ked Notes - (no file)
O9 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - OneNote Lin&ked Notes - (no file)
O22 - Task: RunAtStartup - C:\Users\Pavel\AppData\Roaming\Event Monitor\em.exe -rem (file missing)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 
Программы/расширения от Mail.ru используете?

Изменено 21 февраля, 2018 пользователем regist

[Павел Буткевич]

После обновления(которое осуществил сегодня днём) проверил и произвёл лечение с перезагрузкой антивирусом касперского. Троян был уничтожен и при полной проверке и проверки на руткиты уже не был обнаружен.

 

Программы/расширения от Mail.ru не использую... был момент, когда компьютер был заражен из-за открытия не проверенного файла, но на тот момент все вирусы были уничтожены антивирусом.

После выполнения скрипта АВЗ и предложенной выше процедуры файлов в папках Карантина (архивов) не было

[regist]

Фикс всё равно выполните и свежие логи также жду.

 

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

+ обязательно смените все пароли.