Решён
Как вылечить MEMZ троян без переустановки Windows?

Игорь Черных Антивирусы
5.9k
6

Поймал MEMZ (не сам, младший брат скачал что-то). Система пока работает, вижу характерные симптомы - курсор дергается, открываются случайные окна, в браузере всякая дичь.

До перезагрузки не доходило, то есть MBR пока, надеюсь, не перезаписан. Есть важные файлы на диске C которые нужно сохранить, бекапа нет.

Касперский нашел что то, но сказал что не может вылечить. Что делать? Реально ли удалить MEMZ без переустановки или это утопия?

UPDATE: Файлы удалось скопировать через LiveCD, MBR оказался чистым. Переустановил Windows. MEMZ лечится только так, не тратьте время на антивирусы.
MEMZWindowsБезопасностьВирусыТроян

6 ответов

Лучшие Новые Старые
Решение
71
Участник • 5 ответов

Первое и самое важное: не перезагружай компьютер. Вообще. MEMZ при перезагрузке запускает перезапись MBR, после этого система не загрузится совсем.

Порядок действий прямо сейчас:

  1. Скопируй важные файлы с диска C на флешку или внешний диск - пока система жива, это возможно.
  2. Если Диспетчер задач еще открывается - попробуй найти и убить процессы MEMZ. Но это, скорее всего, ненадолго остановит симптомы, не уберет заражение.
  3. После копирования файлов - переустановка Windows. MEMZ встраивается в несколько мест системы одновременно и частично вылечить его антивирусом не получится даже теоретически.

Можно попробовать загрузиться с LiveCD (например, Kaspersky Rescue Disk) для сканирования и копирования файлов, если доступ к системе уже ограничен.

Аватар Игорь Черных
Игорь Черных Автор

Спасибо за порядок действий. Файлы пока копирую. Касперский Rescue Disk качаю параллельно.

42
Эксперт • 1 ответ

MEMZ без переустановки не лечится. Это не баг антивирусов, это архитектура самого трояна - он написан чтобы быть максимально неудаляемым. Авторы выкладывали исходники, там видно что он цепляется к нескольким местам одновременно и они следят за живучестью друг друга.

Да, можно убить часть процессов через диспетчер задач. Симптомы временно пропадут. Но остатки в системе никуда не денутся и при следующей перезагрузке всё запустится снова плюс MBR.

Сохрани файлы и переустанавливай. Времени терять не стоит.

6
Эксперт • 1 ответ

Попробуй зайти в безопасный режим (F8 при загрузке) и запустить оттуда Malwarebytes. Иногда помогает на ранних стадиях заражения, когда активные компоненты вируса не загружены.

27
Эксперт • 1 ответ

Не советую пробовать безопасный режим через F8 - некоторые версии MEMZ отслеживают попытки загрузиться не штатно и могут ускорить перезапись MBR. Информация выше про Malwarebytes в безопасном режиме потенциально опасна в данном случае. Только копирование файлов и переустановка.

15
Эксперт • 1 ответ

Касперский Rescue Disk 18 - качаешь ISO, записываешь на флешку через Rufus, загружаешься с нее. Оттуда можно и файлы скинуть и MBR проверить/восстановить если успело зацепить.

26
Участник • 2 ответа

Я как то поймал похожую штуку. Нашел на форуме утилиту которая якобы лечит MEMZ, скачал - оказалось что эта утилита сама была вирусом. Дважды попался в итоге. Не качайте ничего из поиска по "удалить MEMZ утилита", там все фейки.

Написать ответ

Визуальный редактор (WYSIWYG)
Премодерация гостей

Вы отвечаете как гость. Ваш ответ будет скрыт до проверки модератором. Чтобы ответ появился сразу и вы получали репутацию — войдите в аккаунт.

Или войдите в систему
Будьте вежливы и соблюдайте правила платформы.