Перейти к содержанию
Правила раздела

проблема с MEM:Trojan-Spy.Win32.Agent.gen

Khaziyev83

Автор Khaziyev83
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '');
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Program Files\VK OK AdBlock\IEEF\O5SVnur2dm.dll', '32');
 DeleteFile('C:\Users\user\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\program files\vk ok adblock', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 DeleteDirectory('c:\program files\vk ok adblock');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Khaziyev83 Новичок

Khaziyev83

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
http://my-files.ru/2l53sl

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

[KLAN-7674513443]

CollectionLog-2018.02.22-14.05.zip

Изменено пользователем Khaziyev83
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
URLSearchHook: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} -  No File
SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
SearchScopes: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF72C622-9700-45FB-8809-10F2EEA7DEDF%7D&gp=822363
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
Toolbar: HKU\S-1-5-21-1692111185-3220395333-3194295895-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822353
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-08-28] [not signed]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-08-25] [not signed]
FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] [Legacy]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-08-28] [not signed]
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-08-25] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-11-05]
FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-11-05] [Legacy]
FF Extension: (Пульт) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-11-05]
CHR HomePage: Profile 1 -> mail.ru
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=822313"
CHR NewTab: Profile 1 ->  Active:"chrome-extension://enafhpjmlnpmbdnbpjkihmadnkfnpiim/visual-bookmarks.html"
CHR DefaultSearchURL: Profile 1 -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B20C5C883-FDE6-416C-BEEA-7525CE070EC7%7D&gp=822323
CHR DefaultSearchKeyword: Profile 1 -> go.mail.ru
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Profile: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default [2017-11-18]
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\Roaming\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\ProgramData\IObit
2018-02-22 15:05 - 2017-08-21 15:23 - 000000000 ____D C:\Program Files\Common Files\IObit
ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll -> No File
Task: {0B3C895A-A046-4241-9F47-7F7B018088F8} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
Task: {1B01FF92-B613-4FC4-A577-47A96B08D6E8} - \a359d36e38ba7176f188e542fe63bc7c -> No File <==== ATTENTION
Task: {3E3EF486-2F41-4057-B9EE-44604FD9AB8D} - \RedditSearch2 -> No File <==== ATTENTION
Task: {4A9AFC6A-9307-4160-97DC-C3FDFAAC8310} - System32\Tasks\{D94BE32F-062D-4FCA-A352-CA61D4328A53} => C:\Program Files\Fiat\ePER\j2sdk1.4.1\bin\javaw.exe
Task: {67572083-2DBF-464C-BC46-BDA94AEB2B48} - \Microsoft\Windows\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
Task: {7162DBD4-6E30-4E6C-84A0-E8CF9970B31B} - \RedditSearch -> No File <==== ATTENTION
Task: {78B935CB-E3B7-4AFF-9C47-FC31A841DB7E} - \{6307AB3F-D4AC-1C94-2053-79534051D097} -> No File <==== ATTENTION
Task: {82DCBB7F-DBC6-46FE-B37A-7E3A51A22DB2} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101 -> No File <==== ATTENTION
Task: {B255DBDF-3F56-4C7A-8D9F-295BD9A53A33} - \Microsoft\Windows\A1F54BA63-24A1-47B0-BF7C-46741A7E82FB -> No File <==== ATTENTION
Task: {B8F01774-0FDA-408B-A2E8-2AEFF5071FBB} - \Microsoft\2A7F84D73B051D6CA02A61A1F689F101SB -> No File <==== ATTENTION
Task: {BB1EEBBA-75DC-4660-9C88-72B5D23D1582} - \{DC0F3CC0-51AE-488F-EF49-A0B8CD288746} -> No File <==== ATTENTION
Task: {E276FAF1-1C65-40BD-8337-3A635597A003} - \{0B0A7A47-7E0C-0F09-0411-0A7F7A051108} -> No File <==== ATTENTION
Task: {E707ED3B-2D06-4780-B15E-A4E940AA26CE} - System32\Tasks\7411ad46536507222fae089804ae23d3 => sc start 7411ad46536507222fae089804ae23d3 <==== ATTENTION
Task: {F9BE84CF-2022-4A05-A87F-FE506491B3F4} - \{0C7F7847-0F7A-7F7F-0C11-090D7D791108} -> No File <==== ATTENTION
FirewallRules: [TCP Query User{B3AC1948-26F6-48FC-9D86-7CC52919779D}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
FirewallRules: [UDP Query User{D1A1A83F-0444-44B3-A3AB-6656648A1B0E}C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe] => (Allow) C:\program files\fiat\eper\j2sdk1.4.1\bin\javaw.exe
FirewallRules: [{F728FA75-309B-428E-B3DC-9CB803804F59}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{DC1F2F73-8568-4C3B-B859-F439D0F20834}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2. Версию антивируса обновите до актуальной и убедитесь, что включены правильные настройки.

 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
4. Смените все важные пароли.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • Seiku2812
      проблемы с пк
      Автор Seiku2812
      началось все с того что я скачал новые драйвера от нвидиа очень сильно снизилась производительность и я откатил на старые , на следующий день была опять проблема с производительностью как будто видеокарта не хочет работать на 100 процентов , в той же доте в лобби всегда было 240 стабильно сейчас 180(в игре падает фпс с 180 до 80) перепробовал много каких способов ничего не помогает , помогите решить проблему 
    • PoMKA125
      Проблема с youtube из за Kaspersky Free (блокировка quic)
      Автор PoMKA125
      Здравствуйте. В связи с последними событиями описанными тут https://www.company.rt.ru/press/news/d470885/ , заметил такую особенность, что на ПК где нет продуктов ПО Касперкого , ЮТуб работает стабильно, на компьютерах с ПО Касперкого, ЮТуб тормозит. После анализа трафика, стало понятно, что где нет ПО Касперкого, ЮТуб работает на протоколе HTTP3/QUIC и всё замечательно грузится и работает, а на остальных ПК протокол TCP т.е. https. Ради интереса удалил на своём ПК ПО от Касперкого и все заработало, установил и опять не работает нормально ЮТуб. Менял настройки и не смог добиться что бы браузер переключал на протокол QUIC (в настройках браузера chrome://flags/#enable-quic вкл). Помогает только приостановка всей защиты. Подскажите, как вкл или не блокировать QUIC протокол, не удаляя при этом ПО Касперкого? 

    • warnix
      Проблема с пк
      Автор warnix
      здравствуйте, недавно столкнулся с такой проблемой,что при открытии программ вылезает ошибка(я прикрепил фото)
      есть подозрение что это вирус или просто ошибка виндовс
      пробовал запускать разные антивирусы(Kaspersky, dr web cureit) они также не запускаются, абсолютно никакие программы не запускаются, кроме нескольких игр и системных приложений, в диспетчере задач есть много подозрительных процессов, в автозагрузке есть файл steam у которого отсутствует издатель, а открыть расположение файла не получается, хочу попробовать решить эту проблему без переустановки виндовс, на это есть причины

×
×
  • Создать...