Решена - Trojan.Win32.Ddox.ci

Здравствуйте.
Подцепила заразу Trojan.Win32.Ddox.ci..Помогите пожалуйста вылечиться!Заранее спасибо.
Логи
http://exfile.ru/190349 hijackthis.log
http://exfile.ru/190351 virusinfo_syscure.zip
http://exfile.ru/190352 virusinfo_syscheck.zip

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\admin\local settings\application data\mediaget2\mediaget.exe');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2\mediaget.exe','');
 DeleteFile('C:\WINDOWS\system32\yucxuam.dll');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2\mediaget.exe');
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\juy.txt');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\Launch.exe');
 DeleteFile('C:\WINDOWS\system32\5.tmp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{5BF1A5A7-07EC-88DC-2934-DA93F799B368}');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R3 - Default URLSearchHook is missing
O2 - BHO:  Спутник@Mail.Ru  - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [MediaGet2] C:\Documents and Settings\Admin\Local Settings\Application Data\MediaGet2\mediaget.exe --minimized
O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32  advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User  'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
O4 - Startup: setup_9.0.0.722_19.06.2011_22-56.lnk = ?
O20 - AppInit_DLLs: C:\WINDOWS\system32\yucxuam.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

этой строчки не было.
Вируса больше нету!
Спасибо вам огромное,Nod

 

Обращайтесь.