Решена - Подхватил Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем DemMax, 11 июл 2011.

Статус темы:
Закрыта.
  1. DemMax

    DemMax Junior User

    Здравствуйте уважаемые.
    Поймал вирус Trojan.Win32.Ddox.ci.... не могу ничем удалить его.. последняя надежда на вас.. помогите
    Сделал логи как написано в вашей - (ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ!)

    1 http://exfile.ru/192335 (AVZ)
    2 http://exfile.ru/192336 (AVZ)
    3 http://exfile.ru/192337 (Hijackthis)
     
    DemMax, 11 июл 2011
    #1
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\vkontaktedj\vkontaktedj.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\mediaget2\mediaget.exe');
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('C:\Windows\system32\fkhgnyg.dll');
 DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe');
 DeleteFile('C:\VkontakteDJ\VKontakteDJ.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O4 - HKCU\..\Run: [VkontakteDJ] C:\VkontakteDJ\VKontakteDJ.exe /H
O4 - HKCU\..\Run: [MediaGet2] C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe --minimized
O20 - AppInit_DLLs: C:\Windows\system32\fkhgnyg.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer , замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 11 июл 2011
    #2
  3. DemMax

    DemMax Junior User

    Когда начинает работать скрипт, программу (AVZ) закрывает.
     
    DemMax, 11 июл 2011
    #3
  4. Nod

    Nod Moderator

    Nod, 11 июл 2011
    #4
  5. Nod

    Nod Moderator

    Если, таким образом скрипт выполнить не удалось, выполните следующее:

    1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
    Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
    2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
    3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

    После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.
     
    Nod, 11 июл 2011
    #5
  6. DemMax

    DemMax Junior User

    Нет ни одной из этих строк:
    O4 - HKCU\..\Run: [VkontakteDJ] C:\VkontakteDJ\VKontakteDJ.exe /H
    O4 - HKCU\..\Run: [MediaGet2] C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe --minimized
    O20 - AppInit_DLLs: C:\Windows\system32\fkhgnyg.dll
     
    DemMax, 11 июл 2011
    #6
  7. Nod

    Nod Moderator

    хорошо, скрипт из пункта 3 выполнился удачно?

    Далее, выполните пункты 5,6.
     
    Nod, 11 июл 2011
    #7
  8. DemMax

    DemMax Junior User

    Да, скрипт из пункта 3 прошел.
     
    DemMax, 11 июл 2011
    #8
  9. Nod

    Nod Moderator

    Хорошо, выполняйте 5,6 пункты.

    И какой статус проблемы - вирус больше не беспокоит?
     
    Nod, 11 июл 2011
    #9
  10. DemMax

    DemMax Junior User

    Да, все помогло, вируса нет!!!
    Спасибо!!!
    http://exfile.ru/192406(hijackthis.log)
    http://exfile.ru/192407(mbam-log)
    http://exfile.ru/192408(virusinfo_syscheck.zip)
    http://exfile.ru/192410(virusinfo_syscure.zip)
    У меня такой вопрос, у меня до вируса стоял касперский, сейчас он пропал, хотел установить новый, но пишет ошибка 1723.
    Пожалуйста подскажите, что делать.
    Заранее спасибо!
     
    DemMax, 11 июл 2011
    #10
  11. Nod

    Nod Moderator

    Скачайте утилиту удаления продуктов Касперского по ССЫЛКЕ, удалите с помощью нее антивирус и установите его повторно.
     
    Nod, 12 июл 2011
    #11
Статус темы:
Закрыта.

Поделиться этой страницей