Как удалить MEM:Trojan-Spy.Win32.Agent.gen.

[regist]

Понятно, подождите пока будут результаты по карантину.

[Doblovod]

3 раза перезагружал компьютер и выполнял полную проверку, постоянно после запуска обнаруживает файл Tiem.txt и удаляет его

[regist]

сделайте ещё раз свежий образ автозапуска uVS.

[Doblovod]

сделайте ещё раз свежий образ автозапуска uVS.

DESKTOP-OB8QFI9_2018-02-28_09-48-00.7z

[regist]

 

 

3 раза перезагружал компьютер и выполнял полную проверку, постоянно после запуска обнаруживает файл Tiem.txt и удаляет его

Вирус находит только после перезагрузки компьютера?

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   zoo %Sys32%\DRIVERS\CODLMPTWD.SYS
   zoo %Sys32%\DRIVERS\CRBKMOFFX.SYS
   zoo %Sys32%\DRIVERS\CRGGZIEEL.SYS
   zoo %Sys32%\DRIVERS\FIALFARNU.SYS
   zoo %Sys32%\DRIVERS\GECQLWDC.SYS
   zoo %Sys32%\DRIVERS\JGWXYXQEF.SYS
   zoo %Sys32%\DRIVERS\KFKIGNMWU.SYS
   zoo %Sys32%\DRIVERS\KFQWFXZQS.SYS
   zoo %Sys32%\DRIVERS\KMUXKBLNU.SYS
   zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
   zoo %Sys32%\DRIVERS\PIGNXFNXV.SYS
   zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
   zoo %Sys32%\DRIVERS\ZELJBDOTY.SYS
   ;---------command-block---------
   delref %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6517.0809\ONEDRIVESTANDALONEUPDATER.EXE
   delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
   delref %Sys32%\DRIVERS\ZESFDKQH.SYS
   delref %Sys32%\DRIVERS\ZVBMZOSC.SYS
   delref %Sys32%\DRIVERS\16164638.SYS
   delref %Sys32%\DRIVERS\30183868.SYS
   delref %Sys32%\DRIVERS\34780919.SYS
   delref %Sys32%\DRIVERS\ADHGQAWBX.SYS
   delref %Sys32%\DRIVERS\BPIJYRWB.SYS
   delref %Sys32%\DRIVERS\DQBOXRCR.SYS
   delref %Sys32%\DRIVERS\EHORRJUZ.SYS
   delref %Sys32%\DRIVERS\EIJWNVGF.SYS
   delref %Sys32%\DRIVERS\ICVWGZBAS.SYS
   delref %Sys32%\DRIVERS\JMDAALSE.SYS
   delref %Sys32%\DRIVERS\LJIQKMEL.SYS
   delref %Sys32%\DRIVERS\OYBBZYXQ.SYS
   delref %Sys32%\DRIVERS\PSUSSAHD.SYS
   delref %Sys32%\DRIVERS\QGPZFRNX.SYS
   delref %Sys32%\DRIVERS\RGQZRJQO.SYS
   delref %Sys32%\DRIVERS\UGUEQQFI.SYS
   delref %Sys32%\DRIVERS\VDJXQDEF.SYS
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

[Doblovod]

Находился да. Потом после нескольких попыток он их удалил.

27.02.18. 2 или 3  полные проверки ничего не показывали

28.02.18. появился опять

[regist]

@Doblovod, жду карантин. И в вашем случае выполнять скрипт надо в тот же день когда его пишут (либо не выключать/не перезагружать компьютер), А то у вас при каждом ребуте похоже новое имя вирусного файла, в итоге скрипт становится бесполезным.

 

Так что после того как выполните скрипт опять свежий образ образ.

[Doblovod]

Отправлял 1 мар в 10:47

[regist]

Из вас всё щипцами тянуть?

 

 

опять свежий образ образ.

[Doblovod]

Лог

DESKTOP-OB8QFI9_2018-03-05_09-26-30.7z

[regist]

1) Выполните скрипт и пришлити каратин

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
zoo %Sys32%\DRIVERS\PZETFMDQR.SYS
zoo %Sys32%\DRIVERS\KJAPPQXE.SYS
deltmp
zoo %Sys32%\DRIVERS\BJFDIOSGH.SYS
zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
zoo %Sys32%\DRIVERS\IROILUITG.SYS
zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
zoo %Sys32%\DRIVERS\ROXHYUBML.SYS
zoo %Sys32%\DRIVERS\RWZNRXYQM.SYS
zoo %Sys32%\DRIVERS\SNIHLYONI.SYS
zoo %Sys32%\DRIVERS\TCRYTEKVT.SYS
zoo %Sys32%\DRIVERS\TCUNHGXWI.SYS
zoo %Sys32%\DRIVERS\TTZXKFXND.SYS
czoo
restart

2) После этого загрузитесь в безопасный режим и сделайте свежий лог. Потом по логу из безопасного режима дам скрипт и только после этого перезагрузитесь в обычный. А то из обычного похоже не получается получить нужные драйвера.

[Doblovod]

Log

DESKTOP-OB8QFI9_2018-03-05_11-46-03.7z

[regist]

сейчас гляну этот лог. А от предыдущего скрипта не было карантина или вы его не отправляли?

[Doblovod]

сейчас гляну этот лог. А от предыдущего скрипта не было карантина или вы его не отправляли?

 Я его сегодня не делал т.к. компьютер был выключен на выходных

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• .

• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  zoo %Sys32%\DRIVERS\ORIPJHTR.SYS
  zoo %Sys32%\DRIVERS\BODKZHPHK.SYS
  zoo %Sys32%\DRIVERS\KFKIGNMWU.SYS
  zoo %Sys32%\DRIVERS\KMJYSFUZO.SYS
  zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
  zoo %Sys32%\DRIVERS\CRBKMOFFX.SYS
  zoo %Sys32%\DRIVERS\IROILUITG.SYS
  zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
  zoo %Sys32%\DRIVERS\ROXHYUBML.SYS
  zoo %Sys32%\DRIVERS\RWZNRXYQM.SYS
  zoo %Sys32%\DRIVERS\SNIHLYONI.SYS
  zoo %Sys32%\DRIVERS\TCRYTEKVT.SYS
  zoo %Sys32%\DRIVERS\TCUNHGXWI.SYS
  zoo %Sys32%\DRIVERS\TTZXKFXND.SYS
  czoo
  restart
  ;---------command-block---------
  bl 12F076B223960034B10BDF28AF61EC1E 570960
  zoo %SystemDrive%\TIEM.TXT
  delall %SystemDrive%\TIEM.TXT
  bl 32F4A65B12E478C904EF59249E97AFE7 143784
  delall %Sys32%\DRIVERS\BODKZHPHK.SYS
  delref %Sys32%\DRIVERS\CUFTIKJF.SYS
  delref %Sys32%\DRIVERS\GNIAADQW.SYS
  apply

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO

  с паролем virus.
• Полученный архив отправьте на пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.
• + Сделайте потом свежий лог, уже можно и из обычного режима.

Изменено 5 марта, 2018 пользователем regist