В работе - Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем MrClean, 18 июл 2011.

  1. MrClean

    MrClean Junior User

    При входе в браузер (Firefox) выскакивает табличка, уже как было извесно ранее про обновление

    Логи:
    http://exfile.ru/194365
     
  2. oleg

    oleg Expert Вирусоборец

    Сделайте правильно ЛОГ - Hijackthis.log , в данном случае он пустой..

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('NclUSBSrv64.exe');
     DeleteFile('NclUSBSrv64.exe');
     DeleteFile('C:\Windows\system32\buyniyl.dll');
     DeleteFile('C:\Users\D9F8~1\AppData\Local\Temp\59Pkpjlg.sys');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 4) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. MrClean

    MrClean Junior User

  4. MrClean

    MrClean Junior User

  5. Nod

    Nod Moderator

    вы уверены что вложили скрин? - не вижу, проверьте сами.

    Удалите в MBAM следующее:

    Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) -  {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files  (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} -  C:\Program Files (x86)\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
    O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} -  C:\Program Files (x86)\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
    O3 - Toolbar: vShare Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O20 - AppInit_DLLs:  C:\Windows\system32\buyniyl.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PRO  GRA~2\KASPER~1\KASPER~1\sbhook.dll
    
     
  6. MrClean

    MrClean Junior User

    F2 - REG:system.ini: UserInit=userinit.exe
    O3 - Toolbar: vShare Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

    не нашел

    http://exfile.ru/194429 (прошу прощения, вот скрин)
     
  7. Nod

    Nod Moderator

    вирус, все еще беспокоит?
     
  8. MrClean

    MrClean Junior User

    пока вроде бы табличка не появляется, но уверенности нету, есть способ проверить?
     
  9. MrClean

    MrClean Junior User

    нет всеравно появилась
     
  10. Nod

    Nod Moderator

    сделайте повторно логи AVZ и hijackthis
     
  11. Nod

    Nod Moderator

    1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
    Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
    2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
    3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

    После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет, будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.

    После перезагрузки, сделайте повторно логи AVZ
     
  12. MrClean

    MrClean Junior User

    Происходит следующее
    запускаю RunAVZScript.vbс , рабочий стол пропал, выскакивает табличка(windows 7) о запуске программы нажимаю да открывается avz и происходит тоже самое что и раньше (когда делать вручную скрипт)
     
  13. MrClean

    MrClean Junior User

  14. oleg

    oleg Expert Вирусоборец

    Запускайте RunAVZScript.vbs от имени администратора(по правой кнопке мыши)!
     

Поделиться этой страницей