Показано с 1 по 7 из 7.

Подцепил заразу! [Trojan.Win32.Cidox.agsi, HEUR:Trojan.Win32.Generic ] (заявка № 142598)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2013
    Сообщений
    3
    Вес репутации
    17

    Подцепил заразу! [Trojan.Win32.Cidox.agsi, HEUR:Trojan.Win32.Generic ]

    Скачал одну бяку и в результате получил заразу себе на ПК. Нашел файл explorer.dll в системной папке, которы занят каким-то процессом и не удаляется. Во всех браузерах стало вылезать окошко и просьбой отправить смс. Обновился файл wpa.dbl в системной папке. И какой-то fswagz.exe объявился. И еще , не знаю, прав или нет, на мой взгляд стал тормозить интернет, как будто канал чем-то забился. Можете подсказать, что я подцепил и чем мне это грозит / грозило ?
    Вложения Вложения
    Последний раз редактировалось dargo7; 25.07.2013 в 19:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) dargo7, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('pyhnacy.dll','');
     QuarantineFile('C:\Games\Steam\SteamApps\common\Team Fortress 2\tf\sound\sxh\ohmygah.mp3','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1019\A0503096.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1027\A0505793.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1029\A0506071.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1037\A0507863.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1037\A0507944.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1041\A0509390.com','');
     QuarantineFile('C:\System Volume Information\_restore{2C938C06-246D-4020-8DD9-D688F66AAEAA}\RP1050\A0514485.com','');
     QuarantineFile('C:\Documents and Settings\Vlad.P4\fswagz.exe','');
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\Games\Steam\SteamApps\common\Team Fortress 2\bin\itemtest.com','');
     QuarantineFile('C:\Games\Steam\SteamApps\common\SourceFilmmaker\game\bin\itemtest.com','');
     QuarantineFile('C:\Documents and Settings\Vlad.P4\Мои документы\Application Data\explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
     DeleteFile('C:\WINDOWS\system32\servises.exe','32');
     DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
     DeleteFile('C:\Documents and Settings\Vlad.P4\Мои документы\Application Data\explorer.exe','32');
     DeleteFile('C:\Documents and Settings\Vlad.P4\fswagz.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Run: [~backup~] C:\Documents and Settings\Vlad.P4\Мои документы\Application Data\explorer.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\explorer.dll
    Пофиксите следующие строчки в HiJackThis если самостоятельно не прописывали следующие строки в Hosts файле:

    Код:
    O1 - Hosts: 195.122.244.183 l2authd.lineage2.com
    O1 - Hosts: 195.122.244.183 l2testauthd.lineage2.com
    O1 - Hosts: 195.122.244.183 nprotect.lineage2.com
    Важно! Установите Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP + все последующие обновления.

    Сделайте новые логи AVZ

    Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)

    Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)

    По окончанию лечения не забудьте сменить пароли к веб ресурсам.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Да удалите их. SpyDetector сами устанавливали?

    Отключите восстановление системы для этого нажмите Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. Кликнуть пpавой кнопкой мыши на "Мой компьютеp". Выбpать "Свойства". Вкладка "Восстановление системы". Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" Hажать "Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК". Создайте точку восстановления системы для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=>Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    C:\Documents and Settings\Vlad.P4\Application Data\avdrn.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\_id.dat (Malware.Trace) -> Действие не было предпринято.
    Проверьте эти файлы на virustotal
    кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Код:
    C:\Program Files\Pegasys Inc\TMPGEnc 4.0 XPress\Information\TMPGInfo_TE4X.RUS (Trojan.XBuild402) -> Действие не было предпринято.
    C:\Program Files\Revo Uninstaller Pro\Revo.Uninstaller.Pro.2.x.x.Generic.Patch-JW.exe 
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Adobe Flash Professional CS5.5\Кейген\Adobe.Flash.Pro.CS5.5.v11.5.European.Incl.Keymaker-CORE\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Adobe Photoshop CS3 Extended v10.0.0 Final - Официальная русская версия!\33FnFIRVZr.rar (TrojanProxy.Horst) -> Действие не было предпринято.
    C:\Documents and Settings\Vlad.P4\Мои документы\Загрузки\SoftonicDownloader_for_sopcast.exe (PUP.OfferBundler.ST)
    C:\files\Other\garbage2\txt\txt\LDK Generator v.1.0.exe (Trojan.Agent.DF) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #5
    Junior Member Репутация
    Регистрация
    25.07.2013
    Сообщений
    3
    Вес репутации
    17
    - - - Добавлено - - -

    Здравствуйте!

    1) Карантин отправил.

    2) В HiJackThis в результате проверки из указанных была найдена только эта строчка:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

    3) Вопрос еще : теперь на месте файла C:\....\Application Data\explorer.exe появился файл ~dwnld - c той же иконкой
    Что с ним делать?

    4) Лог АВЗ, РСИТ прикрепил.

    МБАМ выложу позже!

    - - - Добавлено - - -

    Прикрепляю отчет с МБАМ!

    нашел какие-то файлы, в частности интересуют которые в системной папке и Application Data.

    Что делать?

    А так же с - Application Data\explorer.exe появился файл ~dwnld ?

    - - - Добавлено - - -

    Кто нибудь прокомментирует из специалистов?
    Вложения Вложения

  8. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    1) Отключите восстановление системы для этого нажмите Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. Кликнуть пpавой кнопкой мыши на "Мой компьютеp". Выбpать "Свойства". Вкладка "Восстановление системы". Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" Hажать "Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

    2) Создайте точку восстановления системы для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=> Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".

    3) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    C:\Documents and Settings\Vlad.P4\Application Data\avdrn.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\_id.dat (Malware.Trace) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    4) Проверьте эти файлы на virustotal
    кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Код:
    C:\Program Files\Pegasys Inc\TMPGEnc 4.0 XPress\Information\TMPGInfo_TE4X.RUS (Trojan.XBuild402) -> Действие не было предпринято.
    C:\Program Files\Revo Uninstaller Pro\Revo.Uninstaller.Pro.2.x.x.Generic.Patch-JW.exe 
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Adobe Flash Professional CS5.5\Кейген\Adobe.Flash.Pro.CS5.5.v11.5.European.Incl.Keymaker-CORE\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Adobe Photoshop CS3 Extended v10.0.0 Final - Официальная русская версия!\33FnFIRVZr.rar (TrojanProxy.Horst) -> Действие не было предпринято.
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Revo Uninstaller Pro 2.5.9\Revo Uninstaller Pro v2.5.9\Patch-JohnWho\Revo.Uninstaller.Pro.2.x.x.Generic.Patch-JW.exe 
    C:\Documents and Settings\Vlad.P4\Мои документы\Downloads\Sony.Vegas.Pro.9.0b.Build.772.(x86).RUS\Crack\Crack.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  9. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 64
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\vlad.p4\\fswagz.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Packed.21635, BitDefender: Gen:Variant.Rimecud.7, AVAST4: Win32:Morphex [Cryp] )
      2. c:\\documents and settings\\vlad.p4\\мои документы\\application data\\explorer.exe - HEUR:Trojan.Win32.Generic
      3. c:\\windows\\system32\\explorer.dll - Trojan.Win32.Cidox.agsi ( BitDefender: Gen:Variant.Symmi.8775, AVAST4: Win32:Crypt-PQC [Trj] )


  • Уважаемый(ая) dargo7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вот подцепил заразу
      От Константин1970 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.10.2009, 20:41
    2. Снова подцепил заразу
      От marker в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 25.08.2009, 23:21
    3. Подцепил заразу на экран
      От Palya в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:27
    4. Помогите!!! Подцепил заразу...
      От PADRE в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:26
    5. Подцепил какую-то заразу...
      От Ovak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.05.2008, 14:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00589 seconds with 17 queries