В работе - Подхватил Trojan.Win32.Ddox.ci

demien · 7 июл 2011

Помогите я подхватил вирус и что теперь делать ?
Вот логи:
hijackthis.log
virusinfo_cure.zip
virusinfo_syscheck.zip

Nod · 7 июл 2011

Ждите, анализирую логи.

Nod · 7 июл 2011

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E43ED1EC-8BF8-498F-A142-3115037A446A}\mpengine.dll');
 DeleteFile('C:\Windows\system32\fqlreoa.dll');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\Rar$EX00.324\PrtScr.exe');
 DeleteFile('L:\autorun.inf');
 DeleteFile('L:\boot\run.bat');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
	  	O20 - AppInit_DLLs: C:\Windows\system32\fqlreoa.dll
5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Скачайте лечащую утилиту AVPTool и запустите сканирование, по завершению которого, отпишитесь здесь о статусе вашей проблемы.
Нажмите, чтобы раскрыть...

Обязательно обновите браузер до последней версии Internet Explorer 9, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

demien · 7 июл 2011

1-3 сделал
4.нету этой строки
5.virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
6.mbam-log

Nod · 11 июл 2011

В MBAM выберите из следующего "незнакомые" вам строки и удалит их:

Зараженные файлы:
c:\Users\Admin\Desktop\Locker\wpe\wpe pro - modified.exe (HackTool.Sniffer.WpePro) -> No action taken.
c:\Users\Admin\Desktop\Locker\wpe\WpeSpy.dll (PUP.Hacktool.Wpe) -> No action taken.
c:\Users\Admin\Desktop\Locker\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
c:\Users\Admin\Desktop\Locker\брут\vnc-scanner.exe (Trojan.Agent) -> No action taken.
c:\Users\Admin\Desktop\Locker\брут\vnc.exe (HackTool.Agent) -> No action taken.
c:\Users\Admin\Desktop\Locker\брут\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
c:\Users\Admin\Desktop\Locker\брут\брут\vnc.exe (HackTool.Agent) -> No action taken.
c:\Users\Admin\documents\develstudio\Project1\Project.exe (Trojan.Agent) -> No action taken.
c:\program files\total commander\Wcmikons.dll (Trojan.FakeAlert) -> No action taken.
c:\Windows\Branding\Basebrd\ru-RU\patch_basebrd.dll.mui.exe (Trojan.FakeAlert) -> No action taken.
c:\Windows\controlcenter\Distrib\removewat.exe (HackTool.Wpakill) -> No action taken.
c:\Windows.old\program files\alcohol soft\alcohol 52\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
c:\Windows.old\Windows\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
c:\Windows.old\Windows\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
d:\20\cheat engine\kernelmoduleunloader.exe (Rogue.AntiMalwareLab) -> No action taken.
d:\program files\php devel studio 2.0 beta\soulengine.exe.small (Trojan.Agent) -> No action taken.
d:\program files\php devel studio 2.0 beta\тест\project.exe (Trojan.Agent) -> No action taken.
d:\program files\THQ\DR\Install\wpa_kill2\antiwpa_crypt.dll (Hacktool) -> No action taken.
d:\program files\THQ\DR\live\WINSXS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll (Malware.Packer.Gen) -> No action taken.
d:\program files\THQ\NFS\need for speed underground 2\NoCD\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\RECYCLER\s-1-5-21-854245398-261903793-1417001333-500\Dd5.exe (Trojan.Agent) -> No action taken.
d:\Locker\wpe\wpe pro - modified.exe (HackTool.Sniffer.WpePro) -> No action taken.
d:\Locker\wpe\WpeSpy.dll (PUP.Hacktool.Wpe) -> No action taken.
d:\Locker\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\Locker\брут\vnc-scanner.exe (Trojan.Agent) -> No action taken.
d:\Locker\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\Locker\брут\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\Locker\брут\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\все для тюряги\WPE PRO.exe (HackTool.Sniffer.WpePro) -> No action taken.
d:\все для тюряги\boot\HookLib.dll (PUP.Hooker) -> No action taken.
d:\все для тюряги\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\все для тюряги\брут\vnc-scanner.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\все для тюряги\брут\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\все для тюряги\брут\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\все для тюряги\мои проги\голоса.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\мои проги\калькулятор.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\мои проги\проиграватель youtube.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\мои проги\хорошенький браузер.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\delphi 7\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\все для тюряги\Locker\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\все для тюряги\Locker\брут\vnc-scanner.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\Locker\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\все для тюряги\Locker\брут\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\все для тюряги\Locker\брут\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\все для тюряги\mvt-bot - многофункциональный бот для тюряги вконтакте\mvt-bot v7.1.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\открывалки\develstudio.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\открывалки\Project.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\открывалки\компьютер.exe (Trojan.Agent) -> No action taken.
d:\все для тюряги\открывалки\открыть фейки.exe (Trojan.Agent) -> No action taken.
d:\моё\r-studio_45_build127464\Keygen\keygen.exe (Malware.Gen) -> No action taken.
d:\моё\sonu vegas\sonyvegaspro_8.0c\rus_sony_vegas_8.0c_build260\rus_sony_vegas_8.0c_build260\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\моё\Шаблоны\картинки\сталкер\ss050810112608l01escape.jpg (Extension.Mismatch) -> No action taken.
d:\моё\яры\kz-hack_hack.kz\kz-hack@hack.kz\kzH.exe (RiskWare.Tool.CK) -> No action taken.
d:\флеха\boot\HookLib.dll (PUP.Hooker) -> No action taken.
d:\флеха\cs 1.6 setup\брут\hidetoolz.exe (Rootkit.Agent) -> No action taken.
d:\флеха\cs 1.6 setup\брут\vnc-scanner.exe (Trojan.Agent) -> No action taken.
d:\флеха\cs 1.6 setup\брут\vnc.exe (HackTool.Agent) -> No action taken.
d:\флеха\z\ophcrack-win32-installer-3.3.1.exe (PSWTool.OphCrack) -> No action taken.
d:\cheat engine\kernelmoduleunloader.exe (Rogue.AntiMalwareLab) -> No action taken.
c:\Users\Admin\Desktop\control center.lnk (Rogue.ControlCenter) -> No action taken.
Нажмите, чтобы раскрыть...

Войти или зарегистрироваться

В работе - Подхватил Trojan.Win32.Ddox.ci

demien Newbie

Nod Moderator

Nod Moderator

demien Newbie

Nod Moderator

Поделиться этой страницей

Войти или зарегистрироваться

В работе - Подхватил Trojan.Win32.Ddox.ci

demien Newbie

Nod Moderator

Nod Moderator

demien Newbie

Nod Moderator

Поделиться этой страницей

Быстрый поиск