Решена - вирус Trojan.win32.ddox.ci! Помогите найти решение

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем zorro_00, 25 июл 2011.

  1. zorro_00

    zorro_00 Newbie

    Здравствуйте, Уважаемые господа! Подцепил через Мозилу данный вирус. Прогонял систему чрез антивирус Доктор Веб-не помогло. На Вашем форуме последняя надежда. Прилагаю лог файлы
    AVZ:
    http://webfile.ru/5455158
    http://webfile.ru/5455159
    HiJackThis:
    http://webfile.ru/5455163
    Заранее спасибо!
     
  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\program files\magicformation\magicformation.exe');
     TerminateProcessByName('c:\windows\datecs\flex2k.exe');
     DeleteFile('c:\windows\datecs\flex2k.exe');
     DeleteFile('c:\program files\magicformation\magicformation.exe');
     DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfareca00001.dll');
     DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfamcc00001.dll');
     DeleteFile('C:\WINDOWS\system32\xkneabj.dll');
     DeleteFile('C:\WINDOWS\system32\newdll.dll');
     DeleteFile('C:\Program Files\MagicFormation\MFHook.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\cknxrmh.dat,
    O20 - AppInit_DLLs: C:\WINDOWS\system32\xkneabj.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - По тем же причинам, обновите Service Pack 2 до Service Pack 3
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. zorro_00

    zorro_00 Newbie

  4. oleg

    oleg Expert Вирусоборец

    Удалите в Mbam следующие строки:

     

Поделиться этой страницей