Решена - Нужна помощь Trojan.Win32.Ddoc.ci

Поймал вирус Trojan.Win32.Ddox.ci
попытался решить проблему с помощью AVPTool. часть вирусов удалилась, но не все.
вирус не дает поставить KAV, при установке вконце отменяет операцию и пишет, что возможно система заражена. также сайты прогружаются в текстовых версиях без картинок,логотипов и прочих скриптов.

http://exfile.ru/191691 - hijackthis.log
http://exfile.ru/191694 - virusinfo_syscheck.zip
http://exfile.ru/191695 - virusinfo_syscure.zip

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\windows\felix.exe');
 StopService('prima');
 StopService('eireyssq');
 StopService('3613614drv');
 DeleteFile('c:\windows\felix.exe');
 DeleteFile('C:\WINDOWS\system32\ibhniqi.dll');
 DeleteFile('3613614drv.sys');
 DeleteFile('C:\WINDOWS\system32\041B.tmp');
 DeleteFile('C:\WINDOWS\system32\0289.tmp');
 DeleteFile('C:\Documents and Settings\Neo\Рабочий стол\Програмное обеспечение\quice_1_2_47\Functionlib.dll');
 DelBHO('{CA3EB689-8F09-4026-AA10-B9534C691CE0}');
 DeleteService('prima');
 DeleteService('eireyssq');
 DeleteService('3613614drv');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com?o=15003&l=dis
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O4 - HKLM\..\Run: [Felix] "C:\WINDOWS\felix.exe" /tray
O20 - AppInit_DLLs: C:\WINDOWS\system32\ibhniqi.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

в HijackThis не было строк:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\ibhniqi.dll

http://exfile.ru/192304 - лог MBAM
ну и последний вопрос, что делать с файлами обнаруженными в MBAM?
так как в FAQ сказано самим не удалять.

 

Удалите в MBAM всё найденное и сообщите статус проблемы?

 

сделал скан с помщью AVPTool и быстрое сканирование MBAM вроде ничего не нашло.
с браузерами стало все нормально гугл хром и IE заработали.
стоит еще раз провести полное сканирование с помощью MBAM после перезагрузки?

почему спрашиваю: TCPRoute.Hijack удаляется MBAM и после рестарта снова появляется обычно.

 

Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После перезагрузки, запустите сканирование MBAM о результате отпишитесь.

 

все, спасибо огромное за помощь)
MBAM ничего не обнаружил.
http://exfile.ru/192355
проблему можно считать решенной)

 

В карман конечно не положишь
Пожалуйста, обращайтесь.