Как удалить MEM:Trojan-Spy.Win32.Agent.gen.

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Doblovod]

DESKTOP-OB8QFI9_2018-02-22_16-10-10.7z

 

 

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  delref %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\FAST SEARCH
  bl 12F076B223960034B10BDF28AF61EC1E 570960
  zoo %SystemDrive%\TIEM.TXT
  delall %SystemDrive%\TIEM.TXT
  zoo %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\TEMP\FCYCDDIG.EXE
  bl B5EF8DC1FB7026FB4EB0E6477452BC61 505856
  addsgn 1A830A9A55834C720BD4C4A50CB06A4325625AB889FAF78EF5C3C5B3E7261B4ECB15BE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.Win32.Agent.hhqm [Kaspersky] 7
  
  chklst
  delvir
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Соберите новый лог uVS.

[Doblovod]

 

 

DESKTOP-OB8QFI9_2018-02-23_09-02-29.7z

[Sandor]

Лезет через уязвимости, поэтому давайте их проверим:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Doblovod]

 

 

SecurityCheck.txt

[Sandor]

Соберите, пожалуйста, отчеты этой версией Автологера.

[Doblovod]

Log

CollectionLog-2018.02.26-10.19.zip

[Sandor]

Запускали именно файл AutoLogger-test.exe ?

На всякий случай, удалите папку Autologger вместе с содержимым и повторите еще раз запуск указанного файла. Полученный архив CollectionLog прикрепите.

[Doblovod]

Прошу прощения, запускал AutoLogger

Log

CollectionLog-2018.02.26-10.46.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('ebsenthi.sys');
 StopService('rktzlatjq.sys');
 QuarantineFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', '');
 QuarantineFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', '');
 DeleteFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', '64');
 DeleteFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', '64');
 DeleteFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', '64');
 DeleteService('crbkmoffx.sys');
 DeleteService('ebsenthi.sys');
 DeleteService('kfkignmwu.sys');
 DeleteService('kmjysfuzo.sys');
 DeleteService('rktzlatjq.sys');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Настройки антивируса сделайте так, как описано в этой статье - https://support.kaspersky.ru/13639

Затем обновите базы продукта и запустите Быструю проверку. Найденные угрозы удалите (лечение активного заражения с перезагрузкой).

[Doblovod]

После запуска скрипта появляется:

[Sandor]

Система не загружается?

Пробуйте в безопасном режиме.

[Doblovod]

Компьютер не перезагружается после выполнения скрипта.

После принудительного выключения и включения он запускается.

 

Или в безопасном режиме запустить скрипт?

[Sandor]

Повторно выполнять скрипт не нужно. А повторный CollectionLog сделайте.

Также сделайте предложенные настройки антивируса.