-
Junior Member
- Вес репутации
- 52
TR/Agent.atk.11 [trojan] блокирует социальные сети
АВ Avira AntiVir был обнаружен TR/Agent.atk.11 [trojan], излечить не смог, остались действия тройна.
Пострадавший утверждает, что теперь проблематично зайти в социальные сети.
На компьютере был случайно запущен файл 466892.scr (имеет иконку картинки)
В списке процессов подозрительный svcgoost.exe
C:\WINDOWS\system32\drivers\etc\hosts стал скрытым и появился hosts.bak
При попытки отобразить скрытые файлы, они снова становились скрытыми.
После остановки svcgoost.exe скрытые файл теперь видны.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите службу восстановления системы (см. Приложение 1 Правил).
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('fefs.ojo','');
DeleteFile('fefs.ojo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ATI Helper');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
Логи прикрепил, а карантин не получилось прислать(какие-то проблемы с отправкой).
-
в логе чисто. Еще что-нибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 52
В каталоге C:\WINDOWS\system32\drivers\etc два файла hosts и hosts.bak. Раньше был только один. В hosts удалил все лишнее, осталось 127.0.0.1 localhost
а файл hosts.bak должен там быть?
-
Сообщение от
Steve
а файл hosts.bak должен там быть?
Удалите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Отправил карантин
Файл сохранён как 100527_214200_virus_4bfeaee862e29.zip
Размер файла 6199998
MD5 fa4e5da9791928f30955c1eb62d7755b
Если можно, объясните пожалуйста что это за троян был и что он делал?
-
Junior Member
- Вес репутации
- 52
А в карантине есть что-нибудь?
-
Есть. Файл C:\WINDOWS\system32\fefs.ojo AntiVir должен детектировать как TR/Oficla.R
-
-
Junior Member
- Вес репутации
- 52
Да. АВ выдал TR/Oficla.R и поместил в карантин. Файл проверил отдельно. Странно, а полная проверка пропустила файл.
Добавлено через 7 минут
Вроде бы все. Если больше ничего подозрительного нет, то вопрос решен.
Спасибо всем большое за помощь.
Последний раз редактировалось Steve; 28.05.2010 в 20:45.
Причина: Добавлено
-
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\fefs.ojo - Trojan.Win32.Agent.edrm ( BitDefender: Gen:Variant.Oficla.2, NOD32: Win32/Oficla.HH trojan, AVAST4: Win32:Malware-gen )
-