Перейти к содержанию
Правила раздела

MEM:Trojan-Spy.Win32.Agent.gen

Роман Филиппов

От Роман Филиппов
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Роман Филиппов Новичок

Роман Филиппов

Опубликовано
  • Автор
Опубликовано

День добрый!


появился данный вирус, что только не делал никак не пропадает, помогите избавиться


 


Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2018.07.20-17.59.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\System32\drivers\prisafe.sys','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Роман Филиппов Новичок

Роман Филиппов

Опубликовано
  • Автор
Опубликовано

 

Результат загрузки

 

Файл сохранён как

 

180720_165047_quarantine_5b5212e73a36e.zip

 

Размер файла

 

71759

 

MD5

 

e14ebb80dc30166b1ef4e354a266dc09

 

Файл закачан, спасибо!

 

 

Результат загрузки

 

Файл сохранён как

 

180720_165047_quarantine_5b5212e73a36e.zip

 

Размер файла

 

71759

 

MD5

 

e14ebb80dc30166b1ef4e354a266dc09

 

Файл закачан, спасибо!

CollectionLog-2018.07.20-19.56.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
BHO-x32: No Name -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> No File
CHR HKU\S-1-5-21-2142271625-1033808827-147187169-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2142271625-1033808827-147187169-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2142271625-1033808827-147187169-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2142271625-1033808827-147187169-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\SUAiUey.exe
2018-06-12 20:52 - 2018-06-12 20:52 - 000001810 _____ () C:\Users\DragonAwe\AppData\Roaming\WDTUEG2.exe.config
2018-06-12 20:52 - 2018-06-12 20:52 - 000016080 _____ () C:\Users\DragonAwe\AppData\Local\InstallationConfiguration.xml
2018-06-12 20:52 - 2018-06-12 20:52 - 000140800 _____ () C:\Users\DragonAwe\AppData\Local\installer.dat
2018-06-12 20:52 - 2018-06-12 20:52 - 000929792 _____ () C:\Users\DragonAwe\AppData\Local\sham.db
2018-06-12 20:52 - 2018-06-12 20:52 - 000000003 _____ () C:\Users\DragonAwe\AppData\Local\wbem.ini
1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 ____N (Microsoft Corporation) C:\Users\DragonAwe\AppData\Local\yteXdUVJ.exe
FirewallRules: [{B65D4FEA-F7E9-4C7B-83DC-21536EACA030}] => (Allow) C:\Users\DragonAwe\AppData\Local\yteXdUVJ.exe
FirewallRules: [{ACE5A854-FFC9-4CC2-BCA1-093EAAAFFDC4}] => (Allow) C:\Program Files (x86)\SUAiUey.exe
Task: {FCC538D5-CD74-4709-9996-4CEE689C29D5} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job => C:\Program Files (x86)\Youtube AdBlock\wi3us34.exe <==== ATTENTION
Task: {697B81D0-E304-489B-9B3D-2298F45C484C} - \Update Service for Youtube AdBlock -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Роман Филиппов Новичок

Роман Филиппов

Опубликовано
  • Автор
Опубликовано

сделал


все найденные угрозы отправил в карантин и удалил, выполнил проверку касперским, угроз не найдено.

спасибо огромное за помощь

mbam.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Rizzota
      Помогите удалить троян Trojan-Spy.Win32.Zbot.epbo
      От Rizzota
      Касперский не видит этот троян, сколько бы проверок не делал всё равно у него "всё в порядке". Хотя у меня этот троян всю память забивает на диске С, помогите кто сталкивался с этим трояном. Как решить? 
×
×
  • Создать...