Перейти к содержанию
Правила раздела

Не получается вылечиться от Trojan-Spy.Win32.Agent.gen

Cesar17

Автор Cesar17
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Cesar17

Cesar17

Опубликовано
Опубликовано (изменено)

Столкнулся с Trojan.Win32.Agent.gen антивирус сообщает, что засел он в системной памяти. Лечение не помогает, после каждой перезагрузки ПК вирус снова обнаруживается на том же месте. Полная проверка и повторное лечение ничего не даёт,каждый раз сообщение, что вирус всё равно есть.

AutoLogger ничего не обнаруживает, пишет "обнаруженных угроз: 0". Но анти вирус всё равно сообщает о трояне.

CollectionLog-2018.07.30-17.08.zip

report1.log

report2.log

Изменено пользователем Cesar17
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('PowZip', 4);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances\powzip instance');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip');
 QuarantineFile('C:\Windows\System32\drivers\PowZip.sys','');
 DeleteFile('C:\Windows\System32\drivers\PowZip.sys','64');
DeleteService('PowZip');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
QuarantineFileF('C:\Program Files (x86)\Powzip', '*.*', false,'', 0, 0, '', '');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
ShellIconOverlayIdentifiers: [ !!!smico] -> {C6E713CA-A7FD-4C73-9E34-AD7676CB957F} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers1: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers1: [SMShellExts] -> {3871F95B-BF7A-4c17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers2: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers4: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => C:\Program Files (x86)\Powzip\smshellext.dll [2018-06-29] ()
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
C:\Program Files (x86)\Powzip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир А.К.
      [РЕШЕНО] Не могу вылечить вирусы HEUR:Trojan.Multi.GenBadur.genw, HEUR:Trojan.JS.Trolec.gen и HEUR:Trojan.Script.Agent.gen
      Автор Владимир А.К.
      Здравствуйте! Пожалуйста, помогите с удалением вируса.
      После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел).
      Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов).

      CollectionLog-2025.07.26-19.55.zip
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • MiStr
      Программа «Консультант по продуктам»: помогай и получай вознаграждение!
      Автор MiStr
      Знаешь о продуктах «Лаборатории Касперского» всё и даже больше? Любишь помогать и быть полезным? Не можешь пройти мимо, когда у кого-то из знакомых и не очень людей возникают проблемы с компьютером или телефоном? Желаешь приобрести новые знания и опыт? Не веришь, что можно совместить полезное (оказание помощи) с приятным (получение вознаграждения)? Тогда это для тебя!
      «Лаборатория Касперского» приглашает к участию в программе поддержки пользователей продуктов компании во Всемирной Паутине «Консультант по продуктам»!
       
      Суть программы
      Задачей программы является консультация и оказание помощи по продуктам «Лаборатории Касперского» на обширных просторах не только Рунета, но и ресурсах на любом языке – социальные сети, сайты, форумы, блоги, сервисы типа «Вопрос-Ответ» и другие общедоступные площадки, на которых пользователям персональных и корпоративных продуктов и сервисов «Лаборатории Касперского» требуется консультация или помощь. Исключениями являются все ресурсы, принадлежащие «Лаборатории Касперского» (включая официальный форум, форум клуба), и официальные сообщества компании и Службы технической поддержки в социальных сетях.
       
      Кто может участвовать в программе
      Участниками программы могут стать участники клуба (т. е. зарегистрированные на forum.kasperskyclub.ru или kasperskyclub.com), за исключением пользователей групп «Новички» и «Участники». Каждый участник программы обязан пройти испытательный период сроком до 3 месяцев, после чего успешно сдать тест и получить сертификат, дающий право дальнейшего участия в программе.
       
      По каким продуктам помогать
      В программе участвуют все персональные и корпоративные продукты и сервисы «Лаборатории Касперского», которые опубликованы на официальном сайте компании www.kaspersky.ru (www.kaspersky.com), включая бесплатные и для мобильных устройств!
       
      Вознаграждение
      За консультации и успешно решённые проблемы (далее – кейсы) участники программы получают баллы.
      В «зачёт» идут только кейсы, связанные исключительно с техническими аспектами работы персональных и корпоративных продуктов и сервисов «Лаборатории Касперского». Под «техническими» понимаются кейсы, связанные с невозможностью обновления баз, установкой продукта, консультации по вопросам работы тех или иных функций, ошибки в работе продукта и т. п. В «зачёт» не идут нетехнические кейсы, коими являются вопросы и проблемы, связанные с ценообразованием, выбором и приобретением продуктов, нюансами участия в различных акциях, проводимых «Лабораторией Касперского», и т. п.
      За полученные баллы участник вправе выбрать любое вознаграждение на свой вкус. Список вознаграждений, размещённый в специальном закрытом разделе форума для участников программы, будет постоянно пополняться!
       
      Где узнать подробности и как принять участие в программе
      Вторая часть правил с более подробной информацией о программе, в том числе об уровнях участия в ней, размещена в специальном закрытом разделе форума, доступном только для участников программы. Разглашение информации из специального закрытого раздела запрещено.
      Для участия в программе необходимо оставить заявку в произвольной форме в этой теме. Пользователю может быть отказано в удовлетворении заявки без объяснения причин.
      В данной теме не допускаются любые обсуждения. Сообщения, не относящиеся к заявкам, будут удалены. Все уточняющие вопросы по программе можно задать в соседней теме.
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Bobcheg
      Касперский обнаружил два вредоносных объекта. Вылечить не получается Trojan.Win32.SEPEH и Trojan.Multi.Agent
      Автор Bobcheg
      Добрый день!
      После скачивания книги в с неизвестного сайта  вероятно подцепил эту гадость. Касперский обнаружил угрозу, но лечению она не поддается.

      Addition_12-03-2025 18.15.18.txt FRST_12-03-2025 17.50.07.txt
×
×
  • Создать...