Решена - Trojan.Win32.Ddox.ci на компе

Здравствуйте!
У меня с утра такая вот проблема. в любом браузере у меня вылазит сообщение о вирусе Trojan.Win32.Ddox.ci и о том,что нужно платно обновить версию. Так же,при входе на сайт ВКонтате нужно вводить свой номер телефона,а после отправить смс для потверждения. Некоторые интернет страницы не открываются вообще.Проверяла Dr.Web-но толку 0.

Помогите,плиз!!!

http://zalil.ru/31315769 - HiJackThis


http://www.getzilla.net/files/1325353/virusinfo_syscure.zip.html

 

1. Отключите антивирус/фаервол, интернет.

2. Удалите и Создайте новую точку восстановления системы, для этого:

2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\program files\ask.com\updater\updater.exe');
 TerminateProcessByName('e:\Любины файлы\lv\lovivkontakte\lovivkontakte.exe');
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 QuarantineFile('C:\WINDOWS\system32\Drivers\dwprot.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\vax347b.sys','');
 QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe','');
 QuarantineFile('C:\Program Files\Celebrity Toolbar\mhxpcomi.dll','');
 QuarantineFile('c:\8bc8e9448d21cd7e57ee1335\wgasetup.exe','');
 QuarantineFile('LCODCCMP.DLL','');
 QuarantineFile('C:\WINDOWS\system32\dsuiext.dll','');
 QuarantineFile('C:\WINDOWS\System\LVMaLogD.DLL','');
 QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowFX\wfxload.exe','');
 QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
 QuarantineFile('C:\PROGRA~1\FileNote\FileNote.dll','');
 QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\9486.exe','');
 QuarantineFile('C:\Documents and Settings\Administrator\Application Data\teskmgr.exe','');
 QuarantineFile('C:\Documents and Settings\Administrator\Application Data\nygm.exe','');
 QuarantineFile('C:\Documents and Settings\Administrator\Application Data\New-Threat.exe','');
 QuarantineFile('C:\WINDOWS\system32\URL.dll','');
 QuarantineFile('C:\WINDOWS\system32\SHLWAPI.dll','');
 QuarantineFile('C:\WINDOWS\system32\bhbnmmn.dll','');
 QuarantineFile('c:\program files\ask.com\updater\updater.exe','');
 QuarantineFile('e:\Любины файлы\lv\lovivkontakte\lovivkontakte.exe','');
 QuarantineFile('c:\windows\temp\guardguard.exe','');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('e:\Любины файлы\lv\lovivkontakte\lovivkontakte.exe');
 DeleteFile('c:\program files\ask.com\updater\updater.exe');
 DeleteFile('C:\WINDOWS\system32\bhbnmmn.dll');
 DeleteFile('C:\WINDOWS\system32\URL.dll');
 DeleteFile('C:\Documents and Settings\Administrator\Application Data\New-Threat.exe');
 DeleteFile('C:\Documents and Settings\Administrator\Application Data\nygm.exe');
 DeleteFile('C:\Documents and Settings\Administrator\Application Data\teskmgr.exe');
 DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Application Data\9486.exe');
 DeleteFile('C:\Program Files\Stardock\Object Desktop\WindowFX\wfxload.exe');
 DeleteFile('C:\WINDOWS\System\LVMaLogD.DLL');
 DeleteFile('LCODCCMP.DLL');
 DeleteFile('c:\8bc8e9448d21cd7e57ee1335\wgasetup.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2048187189-1494174878-2241899870-1000\tesktop.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\vax347b.sys');
 DelBHO('{D62EC836-BF1E-4CAC-81BE-FB9179835D8E}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AntiVirus');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AntiVirus');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsotf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsotf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Mircosoft Explorer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mircosoft Explorer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HnINVKqyzxDahoSfeuyCsShaKrtPrvKGoDccDMYBUzXpPpBuNw');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','vidc.LEAD');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,3,true);
 ExecuteWizard('TSW',1,3,true);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

5. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие строки не нашли при фиксе.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vkontakte.ru/megaslasher
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.myheritage.com
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Celebrity Toolbar\tbhelper.dll
O2 - BHO: MHTBPos00 Class - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Celebrity Toolbar\tbcore3.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [LoviVkontakte] E:\Любины файлы\LV\LoviVkontakte\lovivkontakte.exe
O4 - HKLM\..\Run: [Microsotf] C:\Documents and Settings\Administrator\Application Data\teskmgr.exe
O4 - HKLM\..\Run: [Mircosoft Explorer] C:\Documents and Settings\Administrator\Application Data\teskmgrs.exe
O4 - HKLM\..\Run: [AntiVirus] C:\Documents and Settings\Administrator\Application Data\New-Threat.exe
O4 - HKCU\..\Run: [HnINVKqyzxDahoSfeuyCsShaKrtPrvKGoDccDMYBUzXpPpBuNw] C:\Documents and Settings\Administrator\Local Settings\Application Data\9486.exe
O4 - HKCU\..\Run: [Microsotf] C:\Documents and Settings\Administrator\Application Data\teskmgr.exe
O4 - HKCU\..\Run: [Mircosoft Explorer] C:\Documents and Settings\Administrator\Application Data\teskmgrs.exe
O4 - HKCU\..\Run: [AntiVirus] C:\Documents and Settings\Administrator\Application Data\New-Threat.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\bhbnmmn.dll
O23 - Service: LoviVkontake Service (LoviVkontakteService) - Zeyfman Genady - C:\Program Files\LoviVkontakte\VkontakteService.exe

6. Сделайте новые логи AVZ и HijackThis

7. Cделайте лог MBAM и дайте ссылку на файл лога.

Для предотвращения повторного заражения рекомендую:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

Почему то ничего не исправилось.
Насайт VirusТotal я зайти не могу-выдает код страницы. А в IE вообще не грузит.
при фиксе в HijackThis я не нашла ни одной на 04 и 020.
вот логи:
http://zalil.ru/31320509 - HJT
http://www.getzilla.net/files/1325952/virusinfo_syscure.zip.html - AVZ

http://zalil.ru/31320518 - MBAM

 

Вам знакомы эти программы: ?

1. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\akelpad\akelpad.exe');
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 TerminateProcessByName('c:\program files\lovivkontakte\vkontakteservice.exe');
 DeleteFile('C:\Program Files\Common Files\msado320.tlb');
 DeleteFile('C:\PROGRA~1\FileNote\FileNote.dll');
 DeleteFile('C:\Documents and Settings\Administrator\Local  Settings\Application Data\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe');
 DeleteFile('c:\program files\lovivkontakte\vkontakteservice.exe');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('c:\program files\akelpad\akelpad.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell  Extensions\Approved','{9EDB82E0-C19C-11D1-A59F-00609725CF78}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameCenterMailRu');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

2. Пофиксите в HijackThis следующие строчки:

Код:

O23 - Service: LoviVkontake Service (LoviVkontakteService) - Zeyfman  Genady - C:\Program Files\LoviVkontakte\VkontakteService.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Common  Files\logishrd\WUApp32.exe -v 0x046d -p 0x08af -f video -m logitech -d  11.80.1048.0 (User 'Default user')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup]  C:\Program Files\Common Files\logishrd\WUApp32.exe -v 0x046d -p 0x08af  -f video -m logitech -d 11.80.1048.0 (User 'SYSTEM')

3. Сделайте в AVZ ЛОГ выполнив стандартный скрипт №2 и дайте ссылку на файл лога - virusinfo_sysCHECK.zip

 

Из этих программ мне знакома только вторая,и то я ее вроде как давным-давно удалила.

В этот раз не нашла:
O23 - Service: LoviVkontake Service (LoviVkontakteService) - Zeyfman Genady - C:\Program Files\LoviVkontakte\VkontakteService.exe


вот http://www.getzilla.net/files/1326256/virusinfo_syscheck.zip.html

 

1. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\process killer\prkiller.exe');
 DeleteFile('C:\Program Files\PC Speed Up\PCSpeedUp.exe');
 DeleteFile('C:\Program Files\Celebrity Toolbar\tbcore3.dll');
 DeleteFile('C:\Program Files\Celebrity Toolbar\mhxpcomi.dll');
 DeleteFile('c:\program files\process killer\prkiller.exe');
 DelCLSID('{669A2A3A-F19C-452D-800D-1240299756C1}');
 DelBHO('{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCSpeedUp');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

вирус больше не беспокоит?

 

Нет,вирус так и остался=(

может,легче систему переустановить?

 

скачайте лечащую утилиту AVPTool и запустите ее, результаты проверки сообщети здесь

 

http://exfile.ru/187976

 

я проверила AVPTool,вылечила все,что было и сообщение о вирусе Trojan.Win32.Ddox.ci больше не появляется. И на сайт ВКонтакте заходит.
Спасибо,спасибо большое!!!!

 

Обращайтесь