Решена - Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Dreammaker18, 12 июл 2011.

Статус темы:
Закрыта.
  1. Dreammaker18

    Dreammaker18 Newbie

    Предложенная утилита от каспера предложенная в верхней части форума нашла троян, но с окончанием agent,после её удаления компьютер ускорился, но старая проблема осталась.
    http://webfile.ru/store?userfile=virusinfo_syscure.zip&sid=145502695 virusinfo_syscure.zip
    http://webfile.ru/store?userfile=virusinfo_syscheck.zip&sid=48609047 virusinfo_syscheck.zip
    http://webfile.ru/store?userfile=hijackthis.log&sid=962107906 hijackthis.log
    з.ы. логи делались до проверкой утилитой каспера, если они считаются устаревшими, то обновлю.
     
  2. Nod

    Nod Moderator

    обновите логи.
     
  3. Dreammaker18

    Dreammaker18 Newbie

  4. oleg

    oleg Expert Вирусоборец

    не могу скачать, перезалейте на другой файлообменник.
     
  5. Dreammaker18

    Dreammaker18 Newbie

  6. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\windows\temp\guardguard.exe');
     StopService('pe3anq6b');
     StopService('ps7anq6b');
     StopService('pf2anq6b');
     StopService('pr2anq6b');
     DeleteFile('c:\windows\temp\guardguard.exe');
     DeleteFile('C:\WINDOWS\system32\gkwdsid.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\pf2anq6b.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ps7anq6b.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\pe3anq6b.sys');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\NOSEventMessages.dll');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_00110514.bat');
     DeleteFile('C:\WINDOWS\system32\pr2anq6b.exe');
     DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
     DeleteFile('C:\WINDOWS\system32\system');
     DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
     DeleteService('pe3anq6b');
     DeleteService('ps7anq6b');
     DeleteService('pf2anq6b');
     DeleteService('pr2anq6b');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32  advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User  'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
    O4 - Startup: _uninst_00110514.lnk = C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_00110514.bat
    O20 - AppInit_DLLs: C:\WINDOWS\system32\gkwdsid.dll
    O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
    O23 - Service: Battlestrike Drivers Auto Removal (pr2anq6b) (pr2anq6b) - Noviy Disk - C:\WINDOWS\system32\pr2anq6b.exe 
    
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  7. Dreammaker18

    Dreammaker18 Newbie

    Около половины строк не профиксил, тк их не было. Но всё равно проблема решена, спасибо вам огромное :)
    з.ы. извиняюсь за то, что отвечал долго.
     
Статус темы:
Закрыта.

Поделиться этой страницей