проблема с MEM:Trojan-Spy.Win32.Agent.gen

[Khaziyev83]

Также обнаружилась эта дрянь, лечение, перезагрузка не помогает

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Khaziyev83]

Вот лог

CollectionLog-2018.02.22-12.05.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '');
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '32');
 DeleteFile('C:\Users\user\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\program files\vk ok adblock', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\program files\vk ok adblock');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[Khaziyev83]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
http://my-files.ru/2l53sl

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

[KLAN-7674513443]

CollectionLog-2018.02.22-14.05.zip

Изменено 22 февраля, 2018 пользователем Khaziyev83

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Khaziyev83]

Готово

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Khaziyev83]

готово

AdwCleanerC0.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  URLSearchHook: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} -  No File
  SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
  SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
  BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
  BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
  Toolbar: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
  Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
  Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822353
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-08-28] [not signed]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-08-25] [not signed]
  FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] [Legacy]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-08-28] [not signed]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-08-25] [not signed]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-11-05]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-11-05] [Legacy]
  FF Extension: (Пульт) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-11-05]
  CHR HomePage: Profile 1 -> mail.ru
  CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=822313"
  CHR NewTab: Profile 1 ->  Active:"chrome-extension://enafhpjmlnpmbdnbpjkihmadnkfnpiim/visual-bookmarks.html"
  CHR DefaultSearchURL: Profile 1 -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B20C5C883-FDE6-416C-BEEA-7525CE070EC7%7D&gp=822323
  CHR DefaultSearchKeyword: Profile 1 -> go.mail.ru
  CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default [2017-11-18]
  2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\Все пользователи\IObit
  2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\Roaming\IObit
  2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
  2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\ProgramData\IObit
  2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Program Files\Common Files\IObit
  ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
  Task: {0B3C895A-A046-4241-9F47-7F7B018088F8} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
  Task: {1B01FF92-B613-4FC4-A577-47A96B08D6E8} - \a359d36e38ba7176f188e542fe63bc7c -> No File <==== ATTENTION
  Task: {3E3EF486-2F41-4057-B9EE-44604FD9AB8D} - \RedditSearch2 -> No File <==== ATTENTION
  Task: {4A9AFC6A-9307-4160-97DC-C3FDFAAC8310} - System32\Tasks\{D94BE32F-062D-4FCA-A352-CA61D4328A53} => C:\Program Files\Fiat\ePER\j2sdk1.4.1\bin\javaw.exe
  Task: {67572083-2DBF-464C-BC46-BDA94AEB2B48} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
  Task: {7162DBD4-6E30-4E6C-84A0-E8CF9970B31B} - \RedditSearch -> No File <==== ATTENTION
  Task: {78B935CB-E3B7-4AFF-9C47-FC31A841DB7E} - \{6307AB3F-D4AC-1C94-2053-79534051D097} -> No File <==== ATTENTION
  Task: {82DCBB7F-DBC6-46FE-B37A-7E3A51A22DB2} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
  Task: {B255DBDF-3F56-4C7A-8D9F-295BD9A53A33} - \Microsoft\Windows\A1F54BA63-24A1-47B0-BF7C-46741A7E82FB -> No File <==== ATTENTION
  Task: {B8F01774-0FDA-408B-A2E8-2AEFF5071FBB} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
  Task: {BB1EEBBA-75DC-4660-9C88-72B5D23D1582} - \{DC0F3CC0-51AE-488F-EF49-A0B8CD288746} -> No File <==== ATTENTION
  Task: {E276FAF1-1C65-40BD-8337-3A635597A003} - \{0B0A7A47-7E0C-0F09-0411-0A7F7A051108} -> No File <==== ATTENTION
  Task: {E707ED3B-2D06-4780-B15E-A4E940AA26CE} - System32\Tasks\7411ad46536507222fae089804ae23d3 => sc start 7411ad46536507222fae089804ae23d3 <==== ATTENTION
  Task: {F9BE84CF-2022-4A05-A87F-FE506491B3F4} - \{0C7F7847-0F7A-7F7F-0C11-090D7D791108} -> No File <==== ATTENTION
  FirewallRules: [TCP Query User{B3AC1948-26F6-48FC-9D86-7CC52919779D}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
  FirewallRules: [UDP Query User{D1A1A83F-0444-44B3-A3AB-6656648A1B0E}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
  FirewallRules: [{F728FA75-309B-428E-B3DC-9CB803804F59}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{DC1F2F73-8568-4C3B-B859-F439D0F20834}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Khaziyev83]

сделано

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Khaziyev83]

Спасибо большое за помощь. Проблема устранена

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2. Версию антивируса обновите до актуальной и убедитесь, что включены правильные настройки.

 

3.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

4. Смените все важные пароли.

[Khaziyev83]

еще раз благодарю

SecurityCheck.txt