Перейти к содержанию
Правила раздела

проблема с MEM:Trojan-Spy.Win32.Agent.gen

Khaziyev83

Автор Khaziyev83
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '');
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '32');
 DeleteFile('C:\Users\user\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\program files\vk ok adblock', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\program files\vk ok adblock');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Khaziyev83

Khaziyev83

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
http://my-files.ru/2l53sl

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

[KLAN-7674513443]

CollectionLog-2018.02.22-14.05.zip

Изменено пользователем Khaziyev83
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
URLSearchHook: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} -  No File
SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
Toolbar: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822353
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-08-28] [not signed]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-08-25] [not signed]
FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] [Legacy]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-08-28] [not signed]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-08-25] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-11-05]
FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-11-05] [Legacy]
FF Extension: (Пульт) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-11-05]
CHR HomePage: Profile 1 -> mail.ru
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=822313"
CHR NewTab: Profile 1 ->  Active:"chrome-extension://enafhpjmlnpmbdnbpjkihmadnkfnpiim/visual-bookmarks.html"
CHR DefaultSearchURL: Profile 1 -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B20C5C883-FDE6-416C-BEEA-7525CE070EC7%7D&gp=822323
CHR DefaultSearchKeyword: Profile 1 -> go.mail.ru
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default [2017-11-18]
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\Roaming\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\ProgramData\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Program Files\Common Files\IObit
ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
Task: {0B3C895A-A046-4241-9F47-7F7B018088F8} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
Task: {1B01FF92-B613-4FC4-A577-47A96B08D6E8} - \a359d36e38ba7176f188e542fe63bc7c -> No File <==== ATTENTION
Task: {3E3EF486-2F41-4057-B9EE-44604FD9AB8D} - \RedditSearch2 -> No File <==== ATTENTION
Task: {4A9AFC6A-9307-4160-97DC-C3FDFAAC8310} - System32\Tasks\{D94BE32F-062D-4FCA-A352-CA61D4328A53} => C:\Program Files\Fiat\ePER\j2sdk1.4.1\bin\javaw.exe
Task: {67572083-2DBF-464C-BC46-BDA94AEB2B48} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
Task: {7162DBD4-6E30-4E6C-84A0-E8CF9970B31B} - \RedditSearch -> No File <==== ATTENTION
Task: {78B935CB-E3B7-4AFF-9C47-FC31A841DB7E} - \{6307AB3F-D4AC-1C94-2053-79534051D097} -> No File <==== ATTENTION
Task: {82DCBB7F-DBC6-46FE-B37A-7E3A51A22DB2} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
Task: {B255DBDF-3F56-4C7A-8D9F-295BD9A53A33} - \Microsoft\Windows\A1F54BA63-24A1-47B0-BF7C-46741A7E82FB -> No File <==== ATTENTION
Task: {B8F01774-0FDA-408B-A2E8-2AEFF5071FBB} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
Task: {BB1EEBBA-75DC-4660-9C88-72B5D23D1582} - \{DC0F3CC0-51AE-488F-EF49-A0B8CD288746} -> No File <==== ATTENTION
Task: {E276FAF1-1C65-40BD-8337-3A635597A003} - \{0B0A7A47-7E0C-0F09-0411-0A7F7A051108} -> No File <==== ATTENTION
Task: {E707ED3B-2D06-4780-B15E-A4E940AA26CE} - System32\Tasks\7411ad46536507222fae089804ae23d3 => sc start 7411ad46536507222fae089804ae23d3 <==== ATTENTION
Task: {F9BE84CF-2022-4A05-A87F-FE506491B3F4} - \{0C7F7847-0F7A-7F7F-0C11-090D7D791108} -> No File <==== ATTENTION
FirewallRules: [TCP Query User{B3AC1948-26F6-48FC-9D86-7CC52919779D}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
FirewallRules: [UDP Query User{D1A1A83F-0444-44B3-A3AB-6656648A1B0E}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
FirewallRules: [{F728FA75-309B-428E-B3DC-9CB803804F59}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{DC1F2F73-8568-4C3B-B859-F439D0F20834}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2. Версию антивируса обновите до актуальной и убедитесь, что включены правильные настройки.

 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
4. Смените все важные пароли.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Readkey11
      Проблема авторизации с доменной учетной записью в ksc linux
      Автор Readkey11
      Добрый день, подскажите пожалуйста касаемо использования доменной уз для авторизации в веб-консоли на кластер KSC 15.1 linux
      Настроил опрос домена, получил информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
      Назначил доменной уз роль главного администратора на сервере KSC
      При попытке авторизации после длительного таймаута получаю сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)
      Порт 389 доступен, контроллер домена развернут на samba
      На нодах выполнил команду, для отключения принудительной проверки сертификатов
      sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT_AUTH -t d -v 0
      Также пробовал настраивать опрос домена с помощью точки распространения на ос Linux, ошибка та же.
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
×
×
  • Создать...