Решена - trojan.win32.ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем SOSLANBEK, 29 июн 2011.

Статус темы:
Закрыта.
  1. SOSLANBEK

    SOSLANBEK Newbie

    подхватил троян : trojan.win32.ddox.ci
    после чего у меня стали плохо грузиться интернет страницы
    потом вобще перестали грузиться
    Opera предлогала скачать новую версию и просила отправить смс
    вот мои логи:
    1)http://exfile.ru/188533
    2)http://exfile.ru/188534
    3)http://exfile.ru/188536
    Помогите пожалуйста
     
  2. Nod

    Nod Moderator

    Анализирую логи, подождите..
     
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     QuarantineFile('C:\systemhost\systemhost.exe','');
     QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\FAUC284.tmp','');
     QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\EagleNT.sys','');
     QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\fxtdypow.sys','');
     DeleteFile('C:\Windows\system32\jzkzqyc.dll');
     DeleteFile('C:\Users\Загагов\AppData\Local\MediaGet2\mediaget.exe');
     DeleteFile('C:\Users\Загагов\AppData\Local\Temp\_uninst_setup_9.0.0.722_28.06.2011_15-10.exe.bat');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKCU\..\Run: [systemhost.exe] C:\systemhost\systemhost.exe
    O4 - HKCU\..\Run: [E89125053796BECB] C:\systemhost\systemhost.exe
    O4 - Startup: _uninst_setup_9.0.0.722_28.06.2011_15-10.exe.lnk = ?
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - AppInit_DLLs: C:\Windows\system32\jzkzqyc.dll
    [B][COLOR=Blue]Если Вам [U]НЕ[/U] знакомы эти DNS сервера - ([URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]), пофиксите строки:[/COLOR][/B]
    [COLOR=Blue]O17 - HKLM\System\CCS\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]
    O17 - HKLM\System\CS1\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]
    O17 - HKLM\System\CS2\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL][/COLOR]
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  4. SOSLANBEK

    SOSLANBEK Newbie

  5. Nod

    Nod Moderator

    активного заражения не вижу, лечение завершено
     
Статус темы:
Закрыта.

Поделиться этой страницей