Перейти к содержанию
Правила раздела

Как удалить MEM:Trojan-Spy.Win32.Agent.gen.

Doblovod

От Doblovod
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 72
  • Created
  • Последний ответ

Top Posters In This Topic

  • Doblovod

    36

  • Sandor

    19

  • regist

    18

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

regist Корифей

regist

Опубликовано
Опубликовано

 

 


3 раза перезагружал компьютер и выполнял полную проверку, постоянно после запуска обнаруживает файл Tiem.txt и удаляет его
Вирус находит только после перезагрузки компьютера?

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
zoo %Sys32%\DRIVERS\CODLMPTWD.SYS
zoo %Sys32%\DRIVERS\CRBKMOFFX.SYS
zoo %Sys32%\DRIVERS\CRGGZIEEL.SYS
zoo %Sys32%\DRIVERS\FIALFARNU.SYS
zoo %Sys32%\DRIVERS\GECQLWDC.SYS
zoo %Sys32%\DRIVERS\JGWXYXQEF.SYS
zoo %Sys32%\DRIVERS\KFKIGNMWU.SYS
zoo %Sys32%\DRIVERS\KFQWFXZQS.SYS
zoo %Sys32%\DRIVERS\KMUXKBLNU.SYS
zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
zoo %Sys32%\DRIVERS\PIGNXFNXV.SYS
zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
zoo %Sys32%\DRIVERS\ZELJBDOTY.SYS
;---------command-block---------
delref %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6517.0809\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %Sys32%\DRIVERS\ZESFDKQH.SYS
delref %Sys32%\DRIVERS\ZVBMZOSC.SYS
delref %Sys32%\DRIVERS\16164638.SYS
delref %Sys32%\DRIVERS\30183868.SYS
delref %Sys32%\DRIVERS\34780919.SYS
delref %Sys32%\DRIVERS\ADHGQAWBX.SYS
delref %Sys32%\DRIVERS\BPIJYRWB.SYS
delref %Sys32%\DRIVERS\DQBOXRCR.SYS
delref %Sys32%\DRIVERS\EHORRJUZ.SYS
delref %Sys32%\DRIVERS\EIJWNVGF.SYS
delref %Sys32%\DRIVERS\ICVWGZBAS.SYS
delref %Sys32%\DRIVERS\JMDAALSE.SYS
delref %Sys32%\DRIVERS\LJIQKMEL.SYS
delref %Sys32%\DRIVERS\OYBBZYXQ.SYS
delref %Sys32%\DRIVERS\PSUSSAHD.SYS
delref %Sys32%\DRIVERS\QGPZFRNX.SYS
delref %Sys32%\DRIVERS\RGQZRJQO.SYS
delref %Sys32%\DRIVERS\UGUEQQFI.SYS
delref %Sys32%\DRIVERS\VDJXQDEF.SYS
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

Ссылка на комментарий
Поделиться на другие сайты
Doblovod Постоялец

Doblovod

Опубликовано
  • Автор
Опубликовано

Находился да. Потом после нескольких попыток он их удалил.

27.02.18. 2 или 3  полные проверки ничего не показывали

28.02.18. появился опять

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@Doblovod, жду карантин. И в вашем случае выполнять скрипт надо в тот же день когда его пишут (либо не выключать/не перезагружать компьютер), А то у вас при каждом ребуте похоже новое имя вирусного файла, в итоге скрипт становится бесполезным.

 

Так что после того как выполните скрипт опять свежий образ образ.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) Выполните скрипт и пришлити каратин

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
zoo %Sys32%\DRIVERS\PZETFMDQR.SYS
zoo %Sys32%\DRIVERS\KJAPPQXE.SYS
deltmp
zoo %Sys32%\DRIVERS\BJFDIOSGH.SYS
zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
zoo %Sys32%\DRIVERS\IROILUITG.SYS
zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
zoo %Sys32%\DRIVERS\ROXHYUBML.SYS
zoo %Sys32%\DRIVERS\RWZNRXYQM.SYS
zoo %Sys32%\DRIVERS\SNIHLYONI.SYS
zoo %Sys32%\DRIVERS\TCRYTEKVT.SYS
zoo %Sys32%\DRIVERS\TCUNHGXWI.SYS
zoo %Sys32%\DRIVERS\TTZXKFXND.SYS
czoo
restart

2) После этого загрузитесь в безопасный режим и сделайте свежий лог. Потом по логу из безопасного режима дам скрипт и только после этого перезагрузитесь в обычный. А то из обычного похоже не получается получить нужные драйвера.

Ссылка на комментарий
Поделиться на другие сайты
Doblovod Постоялец

Doblovod

Опубликовано
  • Автор
Опубликовано

сейчас гляну этот лог. А от предыдущего скрипта не было карантина или вы его не отправляли?

 Я его сегодня не делал т.к. компьютер был выключен на выходных

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
zoo %Sys32%\DRIVERS\ORIPJHTR.SYS
zoo %Sys32%\DRIVERS\BODKZHPHK.SYS
zoo %Sys32%\DRIVERS\KFKIGNMWU.SYS
zoo %Sys32%\DRIVERS\KMJYSFUZO.SYS
zoo %Sys32%\DRIVERS\NJTDEYAEV.SYS
zoo %Sys32%\DRIVERS\CRBKMOFFX.SYS
zoo %Sys32%\DRIVERS\IROILUITG.SYS
zoo %Sys32%\DRIVERS\QUJEZMRML.SYS
zoo %Sys32%\DRIVERS\ROXHYUBML.SYS
zoo %Sys32%\DRIVERS\RWZNRXYQM.SYS
zoo %Sys32%\DRIVERS\SNIHLYONI.SYS
zoo %Sys32%\DRIVERS\TCRYTEKVT.SYS
zoo %Sys32%\DRIVERS\TCUNHGXWI.SYS
zoo %Sys32%\DRIVERS\TTZXKFXND.SYS
czoo
restart
;---------command-block---------
bl 12F076B223960034B10BDF28AF61EC1E 570960
zoo %SystemDrive%\TIEM.TXT
delall %SystemDrive%\TIEM.TXT
bl 32F4A65B12E478C904EF59249E97AFE7 143784
delall %Sys32%\DRIVERS\BODKZHPHK.SYS
delref %Sys32%\DRIVERS\CUFTIKJF.SYS
delref %Sys32%\DRIVERS\GNIAADQW.SYS
apply
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO

    с паролем virus.
  • Полученный архив отправьте на пришлите на почту 6fe17320c989.jpg, укажите  в письме ссылку на тему, в которой просили прислать файлы.
  • + Сделайте потом свежий лог, уже можно и из обычного режима.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • AndyShugar
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не удалить!
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • moyyor
      [РЕШЕНО] Как удалить net:malware.url
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • NaaR
      Не могу удалить HEUR:Trojan.Multi.GenBadur.genw
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
    • Совух белобокий
      Как удалить ключ KES в KSC?
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
×
×
  • Создать...