Перейти к содержанию

Как удалить MEM:Trojan-Spy.Win32.Agent.gen.


Рекомендуемые сообщения

  • Ответов 72
  • Created
  • Последний ответ

Top Posters In This Topic

  • Doblovod

    36

  • Sandor

    19

  • regist

    18

На один из драйверов детект добавили Rootkit.Win64.Agent.auh. Сделайте ещё такой лог
 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

Ссылка на сообщение
Поделиться на другие сайты

1) Удалите всё найденное в TDSSKiller.

 

2)

  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.


 

Ссылка на сообщение
Поделиться на другие сайты

 

 


На один из драйверов детект добавили Rootkit.Win64.Agent.auh.
на второй тоже добавили. Так что в теории через пару, тройку часов после обновления баз KIS должен с ними справиться.

 

 

TDSSKiller просит перезагрузить компьютер
соглашайтесь.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    vreg
    delmz %Sys32%\DRIVERS\HUJJYKEGR.SYS
    delmz %Sys32%\DRIVERS\UPSGGNFD.SYS
    ;---------command-block---------
    bl 32F4A65B12E478C904EF59249E97AFE7 143784
    zoo %Sys32%\DRIVERS\HUJJYKEGR.SYS
    delall %Sys32%\DRIVERS\HUJJYKEGR.SYS
    bl 906CD8B3A76A56F05925515D55D0BB2B 874408
    zoo %Sys32%\DRIVERS\UPSGGNFD.SYS
    delall %Sys32%\DRIVERS\UPSGGNFD.SYS
    bl 12F076B223960034B10BDF28AF61EC1E 570960
    zoo %SystemDrive%\TIEM.TXT
    delall %SystemDrive%\TIEM.TXT
    apply
    czoo
    areg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Проверьте проблему с касперским.

 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Добрый день. Извините за долгое отсутствие и СПАСИБО за помощь.

После выполнения последнего скрипта компьютер попытался перезагрузиться и так больше и не загрузился.

После долгих попыток восстановить Windows, получилось вернуть его в состояние установленной ОС с сохранением всех файлов, но отсутствием всех установленных дополнительных программ.

После установки Касперского и полной проверки, он ничего не обнаружил.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...