Перейти к содержанию

Проблема MEM:Trojan-Spy.Win32.Agent.gen


Дрон

Рекомендуемые сообщения

  • Ответов 37
  • Created
  • Последний ответ

Top Posters In This Topic

  • Дрон

    20

  • regist

    11

  • Sandor

    7

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

MediaGet

Unity Web Player

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\0db4635f-eb22-462b-859a-06224b38f844', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0DB4635F-EB22-462B-859A-06224B38F844" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UnregisterNonABICompliantCodeRange" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Андрей\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wx0EC1.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

KLAN-7674924173

Новые логи

CollectionLog-2018.02.22-15.17.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476787665&z=f941fd0a2ab6fee504841b3gfzdm6q1m0b0m1qdqdo&from=amule1017&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1F51EB10-C77F-4E04-A261-431534F1225D%7D&gp=811014
    Edge HomeButtonPage: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476179780&z=dc243f816e70d89d810beefgbzdmfq8gcm3t3mdm5g&from=che0812&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL
    FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-11-19] [Legacy] [not signed]
    C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
    C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
    ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
    ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
    Task: {4AEEDD6B-5687-4B27-8B6E-23E3FF62A1C9} - System32\Tasks\Microsoft\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
    Task: {4D33284D-805E-45B1-934B-BBE4E8A36BAC} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
    Task: {547D0EB7-99D8-4580-A380-914316857355} - System32\Tasks\86Y5012J8186s805 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\86Y5012J8186s805\86Y5012J8186s805.dll",YJsAclNDc <==== ATTENTION
    Task: {70C2CE65-0AA5-4051-9C8B-6F8D9474C7AE} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429SB => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    Online.io Application (HKLM-x32\...\{F0847AE0-465A-4D7B-A555-AABB43B550F0}) (Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появится

Online.io Application

Если не самостоятельно устанавливали, удалите.

Ссылка на комментарий
Поделиться на другие сайты

1) TektonIT RMS - сами ставили?

2) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file)
O22 - Task: Anofotion Collector - C:\Program Files (x86)\Gronuchcoaregh\bemition.exe 9e42fd65-140a-43eb-b4cd-52bffcdf0d7e (file missing)
O22 - Task: Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task: Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task: Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)
O22 - Task: Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task: Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task: Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task: \Microsoft\188D349961AE55BD7C2FB46A6C2CF429SB - C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe /S --safebrowser (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

3)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.



4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sqwerno
      От Sqwerno
      Добрый день.
      Это продолжение моей проблемы, на которую так никто и не ответил, приведу текст ниже;
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
       
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему"
      Не дождавшись ответа, я просто решил поставить новую систему.
      Скачал iso-файл, поставил. Начал процесс переустановки. На моменте выбора диска необходимо отформатировать диск, что у меня не получилось. Пытался удалить разделы, они просто не удаляются.
      Пробовал через diskpart, говорит, что отказано в доступе, хотя графа "только для чтения" выключена. Попробовал уже все, что есть на просторах интернета, уже начинаю сдаваться. Думаю, что проблема в битых секторах диска. Все это делал на установочной среде флешки.
       
      UPD: В биосе я также выключил Secure Boot
    • amirus
      От amirus
      Всем привет. Никогда не писал нафорумах по ативирусам, более 10 лет пользовался альтернативой, проблем не знал. Касперский заставляет не только писать на форумах, но и нервничать. Проблема следующая. До конца подписки 281 день. 2 устройства подключены, работают. На третьем переустановил систему, и теперь не могу установить антивируник. Ссылку на загрузку беру именно с mykaspersky. То ему не нравится регион, а если не на регион, говорит нет активной подписки, хотя она есть! И пишут в FAQ что программа активируется автоматичеки, но по факту просит код. Кода активации нет, ввести не могу, техподдержка в трансе, не отвечает... В прошлом году была такая же проблема, но техподдержка решила, но каждый раз терпеть эти тряски напрягает.  Как быть, подскажите пожалуйста?


    • Bercolitt
      От Bercolitt
      Имеются лицензии Kaspersky Plus(KP) на 3 устройства. Бесплатные KPM входят в этот пакет. На ПК установлены 2 HDD и один SSD, все системные. Можно запускать по-отдельности.На всех одна и та же Windows 10. Microsoft такое разрешает. По одной лицензии установил на HDD и SSD. Последнюю лицензию на смартфон. Вместе с KP установил KPM с общим мастером кючом разблокировки. Однако при запуске системы с одного диска, мастер ключ разблокирует хранилище ключей успешно.При запуске с дугого диска хранилище сообщает, что ключ неверный. Надеялся, что хранилища будут синхронизироваться  через облачное хранилище OneDrive или какое-то другое при общей учетной записи My Kaspersky. Не могу теперь пристроить коммерческую лицензию KPM с полным функционалом. Нет никакой информации как ее активизировать ключем активации.
    • Witho
      От Witho
      2 месяца назад спокойно установил себе новый виндовс и не было никаких проблем. Сегодня купил новый ssd и решил установить на него виндовс. Проблема заключается в том что, я не могу зайти в биос. Когда перезагружаю компьютер просто чёрный экран, после сразу рабочий стол виндовс. Если пытаться нажимать клавиши F12, F11, F2, DEL ничего не происходит (Просто экран уходит в спящий режим) Через перезагрузку и shift такая же беда
      Ещё такая же проблема если запускаться через безопасный пуск
    • Bercolitt
      От Bercolitt
      Проблема с почтой яндекса. Происходят попытки подключения к посторонним сайтам.



×
×
  • Создать...