Перейти к содержанию
Правила раздела

Не получается вылечиться от Trojan-Spy.Win32.Agent.gen

Cesar17

Автор Cesar17
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Cesar17

Cesar17

Опубликовано
Опубликовано (изменено)

Столкнулся с Trojan.Win32.Agent.gen антивирус сообщает, что засел он в системной памяти. Лечение не помогает, после каждой перезагрузки ПК вирус снова обнаруживается на том же месте. Полная проверка и повторное лечение ничего не даёт,каждый раз сообщение, что вирус всё равно есть.

AutoLogger ничего не обнаруживает, пишет "обнаруженных угроз: 0". Но анти вирус всё равно сообщает о трояне.

CollectionLog-2018.07.30-17.08.zip

report1.log

report2.log

Изменено пользователем Cesar17
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('PowZip', 4);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances\powzip instance');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip');
 QuarantineFile('C:\Windows\System32\drivers\PowZip.sys','');
 DeleteFile('C:\Windows\System32\drivers\PowZip.sys','64');
DeleteService('PowZip');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
QuarantineFileF('C:\Program Files (x86)\Powzip', '*.*', false,'', 0, 0, '', '');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
ShellIconOverlayIdentifiers: [ !!!smico] -> {C6E713CA-A7FD-4C73-9E34-AD7676CB957F} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers1: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers1: [SMShellExts] -> {3871F95B-BF7A-4c17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers2: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers4: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
C:\Program Files (x86)\Powzip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Cesar17

Cesar17

Опубликовано
  • Автор
Опубликовано

Пока что не высвечивает что есть троян, сейчас полную проверку сделаю и отпишу


Помогло, нету трояна, большое спасибо!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • olenevod@mail.ru
      Удалить MEM:Trojan-Spy.Win32.Agent.gen
      Автор olenevod@mail.ru
      Здравствуйте!

      Касперский обнаружил MEM:Trojan-Spy.Win32.Agent.gen. Лечение не помогает. После перезагрузки вирус снова обнаруживается в системной памяти.
      CollectionLog-2018.02.21-15.37.zip
    • Фёдор Дерябин
      Не получается вылечиться от Trojan-Spy.Win32.Agent.gen
      Автор Фёдор Дерябин
      Столкнулся с Trojan-Spy.Win32.Agent.gen антивирус сообщает, что засел он в системной памяти. Лечение не помогает, после каждой перезагрузки ПК вирус снова обнаруживается на том же месте. Полная проверка и повторное лечение ничего не даёт,каждый раз сообщение, что вирус всё равно есть.

      Подробный отчёт ни о чём по сути не говорит, кроме того, что файл есть в памяти, невозможно даже его место положение понять. Просто есть и всё.

      AutoLogger ничего не обнаруживает, пишет "обнаруженных угроз: 0". Но анти вирус всё равно сообщает о трояне.
      CollectionLog-2018.02.20-07.59.zip



      report1.log
      report2.log
×
×
  • Создать...