Explorer.exe [Trojan.Win32.Cidox.agsi, Trojan.Win32.Jorik.Cidox.sd ]

**Cherendj** · 31.07.2013, 14:41

Не открываются некоторые сайты, игры и программы. Анализ сделал,помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.07.2013, 14:42

Уважаемый(ая) Cherendj, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Cherendj** · 31.07.2013, 14:48

Если эта проблема решится, я поддержу ваш проект всеми возможными силами! Спасибо!

**mrak74** · 31.07.2013, 15:04

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{78B6519F-7A49-DB4F-37C3-4121E27B36A2}-explorer.exe','');
  QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E177A5C3-93F7-600C-9223-8FE225C76EF7}-explorer.exe','');
  QuarantineFile('C:\PROGRA~3\Mozilla\vfjaate.exe','');
  QuarantineFile('C:\Users\Анна\Documents\explorer.dll','');
  QuarantineFileF('C:\PROGRA~3\Mozilla','*', true,'',0 ,0);
  DeleteFile('C:\PROGRA~3\Mozilla\vfjaate.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\igbhmml','64');
  DeleteFile('C:\Users\Анна\documents\explorer.dll','32');
  DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**Cherendj** · 31.07.2013, 15:41

После того как сделал диагностику прикреплять файлы?

**mrak74** · 31.07.2013, 15:45

Да, необходимы свежие логи.

**Cherendj** · 31.07.2013, 15:51

Вот.

**mrak74** · 31.07.2013, 16:14

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{78B6519F-7A49-DB4F-37C3-4121E27B36A2}-explorer.exe','');
  QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E177A5C3-93F7-600C-9223-8FE225C76EF7}-explorer.exe','');
  DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{E177A5C3-93F7-600C-9223-8FE225C76EF7}-explorer.exe','32');
  DeleteFile('C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{78B6519F-7A49-DB4F-37C3-4121E27B36A2}-explorer.exe','32');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**Cherendj** · 31.07.2013, 16:15

Я не знаю как фиксить в HijackThis

**mrak74** · 31.07.2013, 16:18

http://virusinfo.info/showthread.php?t=4491 - как фиксить.

**Cherendj** · 31.07.2013, 16:30

Вот ещё

**mrak74** · 31.07.2013, 16:48

Логи старые прикрепили. Видно из лога

Сканирование запущено в 31.07.2013 15:19:22

. Прикрепите новые, не торопитесь, повнимательнее. Нужны новые virusinfo_syscheck.zip;hijackthis.log.

**Cherendj** · 31.07.2013, 17:31

Похоже вот они.

- - - Добавлено - - -

В общем все помогло. Спасибо! Все запускается,работает нормально. Желаю удачи вашему проекту,и попытаюсь сам помочь.

**mrak74** · 01.08.2013, 10:19

И снова старые логи, если в логе HijackThis остались строки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)

Пофиксите их.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**CyberHelper** · 01.08.2013, 10:29

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\programdata\\microsoft\\microsoft antimalware\\localcopy\\{e177a5c3-93f7-600c-9223-8fe225c76ef7}-explorer.exe - Trojan.Win32.Jorik.Cidox.sd ( BitDefender: Gen:Variant.Graftor.105286 )
2. c:\\programdata\\microsoft\\microsoft antimalware\\localcopy\\{78b6519f-7a49-db4f-37c3-4121e27b36a2}-explorer.exe - Trojan.Win32.Jorik.Cidox.sd ( BitDefender: Gen:Variant.Graftor.105286 )
3. c:\\users\\анна\\documents\\explorer.dll - Trojan.Win32.Cidox.agsi ( BitDefender: Gen:Variant.Symmi.8775, AVAST4: Win32:Crypt-PQC [Trj] )

Explorer.exe [Trojan.Win32.Cidox.agsi, Trojan.Win32.Jorik.Cidox.sd ] (заявка № 143012)

Опции темы

Explorer.exe [Trojan.Win32.Cidox.agsi, Trojan.Win32.Jorik.Cidox.sd ]

Это понравилось:

Итог лечения

Похожие темы

explorer.exe

EXPLORER.EXE

explorer.exe

explorer.exe - 100%

Метки для этой темы

Ваши права в разделе