В работе - как можно удалить Trojan.Win32.Ddox.ci

vikentij-s · 28 окт 2011

всё сделал по очистке этого вируса, ничего не помогло
Вот логи:

oleg · 28 окт 2011

Лог AVZ сделали не верно, исправьте!:

2. Запустите AVZ, обновите базы (файл->обновление баз);

■ В AVZ: меню Файл -> Стандартные скрипты, отметьте галочкой скрипт №3 и нажмите "Выполнить отмеченные скрипты"; (более детально)
■ Дождитесь завершения процесса (появится сообщение Скрипты выполнены).
■ После чего в папке avz появится папка LOG, в ней найдите архив: virusinfo_SYSCURE.zip.
■ Этот архив, разместите на любом файлообменнике не устанавливая пароль (например webfile.ru, указав в своей теме ссылку на архив.

vikentij-s · 30 окт 2011

Вот логи, то что вы просили. Пожалуйста помогите, что дальше делать???

vikentij-s · 30 окт 2011

Вот еще один лог с другой программы "Malwarebytes Anti-...."

vikentij-s · 30 окт 2011

Я немножко ошибся вирусом, он называется trojan.win32.inject.bkiu
http://webfile.ru/5636754 (МВМ)
http://webifile.ru/5636721 (AVZ)

oleg · 30 окт 2011

Доброе время суток!

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\urzmhmb.dll');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\NOSEventMessages.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mnpohost.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\slurv.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\Documents and Settings\Admin\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-6966019607-6781035126-887052673-6525\winmap32.exe,explorer.exe,C:\Documents and Settings\Admin\csrss.exe');
 DeleteFile('C:\Spore Space\Space.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Удалите в MBAM следующее:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\psysnew (Worm.AutoRun.Gen) -> Value: psysnew -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msuwarn (Worm.AutoRun.SDA) -> Value: msuwarn -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\srtserv (Worm.AutoRun) -> Value: srtserv -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,C:\Documents and Settings\Admin\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-6966019607-6781035126-887052673-6525\winmap32.exe,explorer.exe,C:\Documents and Settings\Admin\csrss.exe) Good: (Explorer.exe) -> No action taken.

Зараженные папки:
c:\documents and settings\all users\application data\msuwarn (Worm.AutoRun.SDA) -> No action taken.
c:\documents and settings\all users\application data\msuwarn\mshimon (Worm.AutoRun.SDA) -> No action taken.
c:\documents and settings\all users\application data\msuwarn\slmrv (Worm.AutoRun.SDA) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
d:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
d:\Игры\ReVolt\levels\nhood1\nhood1i.BMP (Extension.Mismatch) -> No action taken.
c:\documents and settings\all users\application data\msuwarn\task.dat (Worm.AutoRun.SDA) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
Нажмите, чтобы раскрыть...

Войти или зарегистрироваться

В работе - как можно удалить Trojan.Win32.Ddox.ci

vikentij-s Newbie

Вложения:

avz 3_log.txt

hijackthis 3.log.txt

oleg Expert Вирусоборец

vikentij-s Newbie

Вложения:

virusinfo_syscure.zip

vikentij-s Newbie

Вложения:

mbam-log-2011-10-29 (05-22-05).txt

vikentij-s Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

В работе - как можно удалить Trojan.Win32.Ddox.ci

vikentij-s Newbie

Вложения:

avz 3_log.txt

hijackthis 3.log.txt

oleg Expert Вирусоборец

vikentij-s Newbie

Вложения:

virusinfo_syscure.zip

vikentij-s Newbie

Вложения:

mbam-log-2011-10-29 (05-22-05).txt

vikentij-s Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск