Как удалить MEM:Trojan-Spy.Win32.Agent.gen.

[Doblovod]

 

Log

DESKTOP-OB8QFI9_2018-03-05_14-25-10.7z

[regist]

На один из драйверов детект добавили Rootkit.Win64.Agent.auh. Сделайте ещё такой лог
 

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

[Doblovod]

Лог

TDSSKiller.3.1.0.16_05.03.2018_15.35.00_log.txt

[regist]

1) Удалите всё найденное в TDSSKiller.

 

2)

1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
   

 

[Doblovod]

TDSSKiller просит перезагрузить компьютер

[regist]

 

 

На один из драйверов детект добавили Rootkit.Win64.Agent.auh.

на второй тоже добавили. Так что в теории через пару, тройку часов после обновления баз KIS должен с ними справиться.

 

 

TDSSKiller просит перезагрузить компьютер

соглашайтесь.

[Doblovod]

Подскажите пожалуйста, мне пока выключить комп, а завтра проверить KISом?

[regist]

Давайте свежий лог uVS, скриптом прямо сейчас попробую добить.

[Doblovod]

Лог

DESKTOP-OB8QFI9_2018-03-06_08-27-23.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  vreg
  delmz %Sys32%\DRIVERS\HUJJYKEGR.SYS
  delmz %Sys32%\DRIVERS\UPSGGNFD.SYS
  ;---------command-block---------
  bl 32F4A65B12E478C904EF59249E97AFE7 143784
  zoo %Sys32%\DRIVERS\HUJJYKEGR.SYS
  delall %Sys32%\DRIVERS\HUJJYKEGR.SYS
  bl 906CD8B3A76A56F05925515D55D0BB2B 874408
  zoo %Sys32%\DRIVERS\UPSGGNFD.SYS
  delall %Sys32%\DRIVERS\UPSGGNFD.SYS
  bl 12F076B223960034B10BDF28AF61EC1E 570960
  zoo %SystemDrive%\TIEM.TXT
  delall %SystemDrive%\TIEM.TXT
  apply
  czoo
  areg

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Проверьте проблему с касперским.

 

Изменено 6 марта, 2018 пользователем regist

[Doblovod]

Добрый день. Извините за долгое отсутствие и СПАСИБО за помощь.

После выполнения последнего скрипта компьютер попытался перезагрузиться и так больше и не загрузился.

После долгих попыток восстановить Windows, получилось вернуть его в состояние установленной ОС с сохранением всех файлов, но отсутствием всех установленных дополнительных программ.

После установки Касперского и полной проверки, он ничего не обнаружил.

 

 

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Doblovod]

Часто используемые уязвимости не обнаружены

СПАСИБО БОЛЬШОЕ ЗА ПОМОЩЬ