Решена - Trojan.Win32.Ddox.ci Помогите вылечиться!

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Ирина, 4 июл 2011.

Статус темы:
Закрыта.
  1. Ирина

    Ирина Junior User

    Здравствуйте! Несколько дней назад выскочил Trojan.Win32.Ddox.ci Появляется баннер с требованием обновить браузер и именем вируса. Кроме того, невозможно зайти на страницы в Одноклассниках и ВКонтакте - для восстановления доступа к странице требуют привязать номер телефона. Следовали Вашей инструкции.
    логи: http://webfile.ru/5417960
    http://webfile.ru/5417982
    http://webfile.ru/5417976
    Помогите, пожалуйста! Спасибо!
     
  2. Nod

    Nod Moderator

    Ждите, анализирую логи.
     
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\documents and settings\одщая\Рабочий стол\to4dbtxl.exe');
     QuarantineFile('\\?\globalroot\systemroot\system32\ElkKLwB.exe','');
     QuarantineFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\407bG7Tt.sys','');
     QuarantineFile('C:\WINDOWS\system32\hfcsqce.dll','');
     QuarantineFile('c:\documents and settings\одщая\Рабочий стол\to4dbtxl.exe','');
     QuarantineFile('c:\windows\samsung\panelmgr\ssmmgr.exe','');
     DeleteFile('c:\documents and settings\одщая\Рабочий стол\to4dbtxl.exe');
     DeleteFile('C:\WINDOWS\system32\hfcsqce.dll');
     DeleteFile('C:\DOCUME~1\911C~1\LOCALS~1\Temp\407bG7Tt.sys');
     DeleteFile('C:\Documents and Settings\Компьютер\Local Settings\Temporary Internet Files\Content.IE5\U7XFLSC7\info[1].exe');
     DeleteFile('\\?\globalroot\systemroot\system32\ElkKLwB.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32Elk KLwB.exe,
    O20 - AppInit_DLLs: C:\WINDOWS\system32\hfcsqce.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  4. Ирина

    Ирина Junior User

    Подскажите, что делать, пожалуйста! Не получается запустить AVZ - табличка "неверный дескриптор меню". И не получается скачать установочный файл mbam-setup.exe по ссылке
     
  5. Nod

    Nod Moderator

  6. Ирина

    Ирина Junior User

    Здравствуйте! Сделали все по Вашей инструкции:
    пункт 3: В результате проверки архива на VIRUS TOTAL есть строка
    VIPRE97812011.07.05Trojan.Win32.Generic!BT
    пункт 4:пофиксили, отсутствуют обе эти строки.
    пункт 5: Логи:http://webfile.ru/5423539, http://webfile.ru/5423541, http://webfile.ru/5423544
    пункт 6: создать файл лога не удалось, поэтому сохранили текстовый файл: http://webfile.ru/5423550
    После всех этих действий вирус себя не проявляет, страница на Одноклассниках открывается. Спасибо!!! Вы Волшебник!
     
  7. Nod

    Nod Moderator

    Пожалуйста, обращайтесь;)
     
Статус темы:
Закрыта.

Поделиться этой страницей