Перейти к содержанию
Правила раздела

Проблема MEM:Trojan-Spy.Win32.Agent.gen

Дрон

От Дрон
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 37
  • Created
  • Последний ответ

Top Posters In This Topic

  • Дрон

    20

  • regist

    11

  • Sandor

    7

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

MediaGet

Unity Web Player

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\0db4635f-eb22-462b-859a-06224b38f844', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0DB4635F-EB22-462B-859A-06224B38F844" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UnregisterNonABICompliantCodeRange" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Андрей\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Дрон Постоялец

Дрон

Опубликовано
  • Автор
Опубликовано

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wx0EC1.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

KLAN-7674924173

Новые логи

CollectionLog-2018.02.22-15.17.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476787665&z=f941fd0a2ab6fee504841b3gfzdm6q1m0b0m1qdqdo&from=amule1017&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1F51EB10-C77F-4E04-A261-431534F1225D%7D&gp=811014
Edge HomeButtonPage: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476179780&z=dc243f816e70d89d810beefgbzdmfq8gcm3t3mdm5g&from=che0812&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL
FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-11-19] [Legacy] [not signed]
C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
Task: {4AEEDD6B-5687-4B27-8B6E-23E3FF62A1C9} - System32\Tasks\Microsoft\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
Task: {4D33284D-805E-45B1-934B-BBE4E8A36BAC} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
Task: {547D0EB7-99D8-4580-A380-914316857355} - System32\Tasks\86Y5012J8186s805 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\86Y5012J8186s805\86Y5012J8186s805.dll",YJsAclNDc <==== ATTENTION
Task: {70C2CE65-0AA5-4051-9C8B-6F8D9474C7AE} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429SB => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
Online.io Application (HKLM-x32\...\{F0847AE0-465A-4D7B-A555-AABB43B550F0}) (Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появится

Online.io Application

Если не самостоятельно устанавливали, удалите.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) TektonIT RMS - сами ставили?

2) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file)
O22 - Task: Anofotion Collector - C:\Program Files (x86)\Gronuchcoaregh\bemition.exe 9e42fd65-140a-43eb-b4cd-52bffcdf0d7e (file missing)
O22 - Task: Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task: Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task: Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)
O22 - Task: Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task: Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task: Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task: \Microsoft\188D349961AE55BD7C2FB46A6C2CF429SB - C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe /S --safebrowser (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

3)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.



4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Блохина Татьяна
      Проблема с флешкой
      От Блохина Татьяна
      Здравствуйте! Я недавно купила флешку Кингстон на 64 и 128гигабайт по работе. Но обнаружила на них обеих следующее. Файл если записать в корень флешки читается нормально, но если переписать его с другого носителя в папке, то появляется сообщение об ошибке и не возможности файл прочесть или просто чистый лист. Форматирование изменений не принесло. Что делать, выкинуть флешки или можно их вылечить? Спасибо. Антивирус Касперского постоянно обновляется и вирусов на флешках не показывает.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
    • Witho
      Здравствуйте! Столкнулся с проблемой связанной с биос
      От Witho
      2 месяца назад спокойно установил себе новый виндовс и не было никаких проблем. Сегодня купил новый ssd и решил установить на него виндовс. Проблема заключается в том что, я не могу зайти в биос. Когда перезагружаю компьютер просто чёрный экран, после сразу рабочий стол виндовс. Если пытаться нажимать клавиши F12, F11, F2, DEL ничего не происходит (Просто экран уходит в спящий режим) Через перезагрузку и shift такая же беда
      Ещё такая же проблема если запускаться через безопасный пуск
    • Sqwerno
      Проблема с пк связанная с поражением вирусом
      От Sqwerno
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
    • user123
      Проблема при развертывании SVM
      От user123
      Добрый день! Прошу знающих людей подсказать по следующей проблеме. На данный момент установлен KSC14, SVM установлен на 6-ти нодах Hyper-V, часть серверов работают в легким агентом 5.2.  В рамках перехода на Linux, пытаюсь добавить в имеющуюся инфраструктуру SVM на кластере Proxmox VE состоящем из 3-х нод. В оснастке управления SVM отображаются существующие ноды на Hyper-V, при попытке добавить ноду на проксмоксе, выдает ошибку "Configuration with '3' nodes is not supported". Ни в какой документации я не нашел ограничения на количество нод. Собственно, вопрос. Конфигурации с каким количеством нод поддерживаются, или возможно, вопрос не в количестве нод, а я что-то делаю неправильно. Заранее благодарю за помощь
×
×
  • Создать...