Решена - Нужна помощь Trojan.Win32.Ddoc.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Dark_warrior, 9 июл 2011.

Статус темы:
Закрыта.
  1. Dark_warrior

    Dark_warrior Newbie

    Поймал вирус Trojan.Win32.Ddox.ci
    попытался решить проблему с помощью AVPTool. часть вирусов удалилась, но не все.
    вирус не дает поставить KAV, при установке вконце отменяет операцию и пишет, что возможно система заражена. также сайты прогружаются в текстовых версиях без картинок,логотипов и прочих скриптов.

    http://exfile.ru/191691 - hijackthis.log
    http://exfile.ru/191694 - virusinfo_syscheck.zip
    http://exfile.ru/191695 - virusinfo_syscure.zip
     
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\windows\felix.exe');
     StopService('prima');
     StopService('eireyssq');
     StopService('3613614drv');
     DeleteFile('c:\windows\felix.exe');
     DeleteFile('C:\WINDOWS\system32\ibhniqi.dll');
     DeleteFile('3613614drv.sys');
     DeleteFile('C:\WINDOWS\system32\041B.tmp');
     DeleteFile('C:\WINDOWS\system32\0289.tmp');
     DeleteFile('C:\Documents and Settings\Neo\Рабочий стол\Програмное обеспечение\quice_1_2_47\Functionlib.dll');
     DelBHO('{CA3EB689-8F09-4026-AA10-B9534C691CE0}');
     DeleteService('prima');
     DeleteService('eireyssq');
     DeleteService('3613614drv');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com?o=15003&l=dis
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
    R3 - URLSearchHook: (no name) -  - (no file)
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O4 - HKLM\..\Run: [Felix] "C:\WINDOWS\felix.exe" /tray
    O20 - AppInit_DLLs: C:\WINDOWS\system32\ibhniqi.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. Dark_warrior

    Dark_warrior Newbie

    в HijackThis не было строк:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\ibhniqi.dll

    http://exfile.ru/192304 - лог MBAM
    ну и последний вопрос, что делать с файлами обнаруженными в MBAM?
    так как в FAQ сказано самим не удалять.
     
  4. Nod

    Nod Moderator

    Удалите в MBAM всё найденное и сообщите статус проблемы?
     
  5. Dark_warrior

    Dark_warrior Newbie

    сделал скан с помщью AVPTool и быстрое сканирование MBAM вроде ничего не нашло.
    с браузерами стало все нормально гугл хром и IE заработали.
    стоит еще раз провести полное сканирование с помощью MBAM после перезагрузки?

    почему спрашиваю: TCPRoute.Hijack удаляется MBAM и после рестарта снова появляется обычно.
     
    Последнее редактирование: 11 июл 2011
  6. Nod

    Nod Moderator

    Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(20);
    RebootWindows(true);
    end.
    
    После перезагрузки, запустите сканирование MBAM о результате отпишитесь.
     
  7. Dark_warrior

    Dark_warrior Newbie

    все, спасибо огромное за помощь)
    MBAM ничего не обнаружил.
    http://exfile.ru/192355
    проблему можно считать решенной)
     
  8. Nod

    Nod Moderator

    В карман конечно не положишь;)
    Пожалуйста, обращайтесь.
     
Статус темы:
Закрыта.

Поделиться этой страницей