MEM:Trojan-Spy.Win32.Agent.gen

[SIMkA]

Как у многих пользователей вылез вирус MEM:Trojan-Spy.Win32.Agent.gen. После какого события именно он возник я не отследил, т.к. много домашних пользователей ПК. Появляется в разное время, иногда сразу после загрузки, иногда через промежуток времени (час, два). Проделал все как указанно на https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Файл протоколов прилагаю. Спасибо

CollectionLog-2018.09.19-22.01.zip

[regist]

1)

Google Toolbar for Internet Explorer [2018/02/20 23:20:36]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_8B0481A9A34D47CD.exe" /uninstall
Google Toolbar for Internet Explorer [20180220]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper [20180220]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20180517]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

советую деинсталировать.

2) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[SIMkA]

Прикрепляю ЛОГ. Сделал все как вы описали, надеюсь правильно

МАХ-ПК_2018-09-21_23-15-33.7z

[regist]

1) Поиск Mail.Ru, Домашняя страница Mail.Ru, Пульс, сами установили?

2) Удалите остатки avast https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.16 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\34C32285A6CA01D7B3B8A1FD49761B29\C588DFDC9FB49FC889A254F2555DB896C0ACCD5F
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\SETUP\OVERSEER.EXE
   delref {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE}\[CLSID]
   delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref H:\SETUP.EXE
   delref %SystemDrive%\USERS\МАХА40\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\12.0.562_0\AVAST ONLINE SECURITY
   delref %SystemDrive%\USERS\МАХА40\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK\12.0.579_0\AVAST SAFEPRICE
   apply
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[SIMkA]

1) Поиск Mail.Ru, Домашняя страница Mail.Ru, Пульс, сами установили?

Т.к. ПК пользуется вся семья, возможно кто-то и установил.

Проделали все, как описано выше, соответствующий файл прикрепляю 

scan.txt

[Sandor]

возможно кто-то и установил

Удалите эти расширения.

 

Повторите еще раз сканирование в MBAM и удалите (поместите в карантин) все найденное.

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[SIMkA]

Удалите эти расширения.

 

К сожалению я не могу найти данные расширения. Как их можно найти и удалить?

Проделал все вышеуказанное и прикрепляю отчет:

AdwCleanerS00.txt

[regist]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[SIMkA]

Все поэтапно сделано. Отчет прикреплен

AdwCleanerC01.txt

[regist]

MBAM деинсталируйте.

Что сейчас с проблемой?

[SIMkA]

MBAM деинсталируйте.

- удалили

 

После проверки касперский выдает (см. вложение)

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[SIMkA]

Проделали все как указано.

 

МАХА40-ПК_2018-10-02_21-39-47.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.21 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %Sys32%\IASSRV.DLL
   ;---------command-block---------
   delref %SystemDrive%\USERS\МАХА40\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\12.0.562_0\AVAST ONLINE SECURITY
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

 

[SIMkA]

 

 

Полученный архив пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

Отправлено