Решена - как удалить Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Atlant, 9 июн 2011.

Статус темы:
Закрыта.
  1. Atlant

    Atlant Junior User

    Здравствуйте уважаемые.

    Давно не было проблем с вирусами... А щас, какой день бьюсь, поймал вирус Trojan.Win32.Ddox.ci.... не могу ничем удалить его.. последняя надежда на вас.. помогите

    Сделал логи как написано в вашей -

    1 http://exfile.ru/182423 (AVZ)
    2 http://exfile.ru/182594 (Hijackthis)

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили у себя этот вирус:

    - Сделайте Логи как показано в инструкции.
    - Создайте тему в разделе по борьбе с вирусами, с кратким описанием своей проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
    Последнее редактирование модератором: 22 июн 2011
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    2.1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    2.2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    2.3 нажмите No, если вы хотите оставить ваши сохраненные пароли
    2.4 если вы используете Opera, нажмите Opera - Select All - Empty Selected
    2.5 нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsFile;
     QuarantineFile('D:\WINDOWS\system32\gyuqyac.dll','');
     DeleteFile('D:\WINDOWS\system32\gyuqyac.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Код:
    [B]O20 - AppInit_DLLs: D:\WINDOWS\system32\gyuqyac.dll[/B]
    O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32  advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User  'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
    O4 - Global Startup: VKSaver.lnk = ?
    
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Сделайте лог MBAM и дайте ссылку на файл лога.


    Для предотвращения повторного заражения рекомендую:

    - НЕ используйте в работе браузер Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. Atlant

    Atlant Junior User

    УРА ТОВАРИЩИ!
    сделал всё как вы сказали, вирус исчез!)
    Nod, спасибо тебе огромное!!!!
     
Статус темы:
Закрыта.

Поделиться этой страницей