Решена - как удалить вирус Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем blaiden, 29 июн 2011.

Статус темы:
Закрыта.
  1. blaiden

    blaiden Junior User

    Здравствуйте.

    Каждый раз когда захожу в браузер на любую страницу,всегда появляеться всплывающее окно:

    В системе обнаружен вирус. Использование интернета нежелательно.
    Браузер зафиксировал попытки внесения изменений в его работу.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
    рекомендуем немедленно установить последнее обновление безопасности браузера.
    Trojan.Win32.Ddox.ci
    – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
    Для безопасного продолжения работы необходимо обновить браузер
    KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
    KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

    Сделал всё как написано в инструкции по борьбе с вирусами.

    1.http://exfile.ru/188670 (AVZ)
    2.http://exfile.ru/188664 (Hijackthis)
     
  2. Nod

    Nod Moderator

    Анализирую логи, подождите..
     
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     QuarantineFile('D:\WINDOWS\system32\hidec','');
     DeleteFile('D:\WINDOWS\system32\lwsyqih.dll');
     DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\IFK4.tmp');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW', 2, 3, true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
    O20 - AppInit_DLLs: D:\WINDOWS\system32\lwsyqih.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  4. blaiden

    blaiden Junior User

  5. blaiden

    blaiden Junior User

    лог по сканированию:http://exfile.ru/188690
    там нашлись инфицированые файлы,как и было сказано,под конец сканирование их удалить,я так и сделал.

    Спасибо вам большое,ошибка это вроде ба как больше не появляеться,спасибо вам,я очень благодарен
     
  6. Nod

    Nod Moderator

    если бы вы были внимательны, то там сказано НЕ УДАЛЯТЬ их самому, ну да ладно.

    Пожалуйста, обращайтесь:)
     
  7. blaiden

    blaiden Junior User

    ну там же написано с низу было,что нужно удилить по окончанию:
    4. Отмечаем строки которые нужно удалить и жмём "Удалить выделенные" (Remove Selected).
    а как бы нечего страшного,то что удалил их?
     
  8. Nod

    Nod Moderator

    Читайте внимательно цитирую:

     
  9. blaiden

    blaiden Junior User

    ну этот блокнот у меня открылся только тогда когда я их удалил.
    Ну так то нечего страшного то что я их удалил?
     
Статус темы:
Закрыта.

Поделиться этой страницей