Решена - Trojan.Win32.Ddox.ci

frenzrb · 15 июн 2011

Вот уже 2-ой день меня мучает этот вирус. Пытался удалить его самостоятельно, но ничего не получилось. Прошу помочь мне.

LOG's:

http://exfile.ru/184615 - AVZ
http://exfile.ru/184605 - Hijackthis

Nod · 16 июн 2011

1. Скачайте CureIT и проверьте компьютер на вирусы.

2. Отключите антивирус/фаервол, интернет.

3. Удалите и Создайте новую точку восстановления системы, для этого:

3.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
3.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

4. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

5. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\logmein hamachi\hamachi-2-ui.exe');
 TerminateProcessByName('c:\windows\bricopacks\vista inspirat 2\rocketdock\rocketdock.exe');
 TerminateProcessByName('c:\program files\logmein hamachi\hamachi-2.exe');
 TerminateProcessByName('c:\program files\nvidia corporation\nvidia updatus\daemonu.exe');
 StopService('Hamachi2Svc');
 StopService('nvUpdatusService');
 StopService('WindowsUpdater');
 QuarantineFile('c:\windows\bricopacks\vista inspirat 2\rocketdock\rocketdock.exe','');
 QuarantineFile('C:\WINDOWS\system32\SHLWAPI.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\RECYCLER.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\wmtmtwo.exe','');
 QuarantineFile('C:\Program Files\Anti Trojan Elite\TJEnder.exe','');
 QuarantineFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\facemoodssrv.exe','');
 QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\WINDOWS\gxuymuv.exe','');
 QuarantineFile('C:\WINDOWS\system32\.exe','');
 QuarantineFile('C:\Program Files\AutocompletePro\AutocompletePro.dll','');
 QuarantineFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\facemoodsTlbr.dll','');
 QuarantineFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\bh\facemoods.dll','');
 QuarantineFile('C:\WINDOWS\system32\shell32.dll','');
 QuarantineFile('c:\program files\logmein hamachi\hamachi-2.exe','');
 QuarantineFile('c:\program files\nvidia corporation\nvidia updatus\daemonu.exe','');
 QuarantineFile('C:\WINDOWS\system32\sqzgrzl.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20110220-115603-705D38BC\ARK117.tmp','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101201-214353-1F837F07\ARK9.tmp','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101201-214353-1F837F07\ARK9.tmp');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20110220-115603-705D38BC\ARK117.tmp');
 DeleteFile('C:\WINDOWS\system32\sqzgrzl.dll');
 DeleteFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\bh\facemoods.dll');
 DeleteFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\facemoodsTlbr.dll');
 DeleteFile('C:\Program Files\AutocompletePro\AutocompletePro.dll');
 DeleteFile('C:\WINDOWS\system32\.exe');
 DeleteFile('C:\WINDOWS\gxuymuv.exe');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-4063470495-3125683251-835126026-2421\cwuoc.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1459\fjwbeb.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\p55bd.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\gpp3g.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe');
 DeleteFile('C:\Program Files\facemoods.com\facemoods\1.4.17.2\facemoodssrv.exe');
 DeleteFile('C:\RYCECLER\');
 DeleteFile('C:\Program Files\Anti Trojan Elite\TJEnder.exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Application Data\wmtmtwo.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\RECYCLER.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\qwltbun.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Obeees.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\311973.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\QuickStores.url');
 DeleteFile('84.exe');
 DeleteFile('C:\WINDOWS\system32\upd\svchost.exe');
 DeleteFile('C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe');
 DeleteFile('C:\Program Files\LogMeIn Hamachi\hamachi-2.exe');
 DeleteFile('c:\windows\bricopacks\vista inspirat 2\rocketdock\rocketdock.exe');
 DeleteFile('c:\program files\logmein hamachi\hamachi-2-ui.exe');
 DelBHO('{0FB6A909-6086-458F-BD92-1F8EE10042A0}');
 DelBHO('{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}');
 DelBHO('{64182481-4F71-486b-A045-B233BD0DA8FC}');
 DeleteService('Hamachi2Svc');
 DeleteService('nvUpdatusService');
 DeleteService('WindowsUpdater');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t7vd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sdjwe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjii321');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tpp3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','p55w');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psuu4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Teswf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tesyh1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ju7bd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fnfx');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fvbk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fgfk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jaqq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jkqq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','facemoods');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Anti Trojan Elite');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Octoshape Streaming Services');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Obeees');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанные ниже строки и нажать - Исправить

7. Пофиксите в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =  http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =  http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =  http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL =  http://search.autocompletepro.com/?si=10181&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  http://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  http://start.facemoods.com/?a=desktop&s={searchTerms}&f=4
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU;  Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string;  ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks:  AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} -  C:\Documents and Settings\Admin\Application Data\Microsoft\Internet  Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program  Files\AutocompletePro\AutocompletePro.dll
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} -  mscoree.dll (file missing)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program  Files\facemoods.com\facemoods\1.4.17.2\bh\facemoods.dll (file missing)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and  Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O3 - Toolbar:  Яндекс.Бар  (для uTorrent) -  {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - C:\Program  Files\Yandex\YandexBarIE\bars\barietorrent\yndbar.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} -  C:\Program Files\facemoods.com\facemoods\1.4.17.2\facemoodsTlbr.dll (file  missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} -  mscoree.dll (file missing)
O4 - HKLM\..\Run: [msnmsgs] C:\Documents and Settings\Admin\Application  Data\qwltbun.exe
O4 - HKLM\..\Run: [Driversys] C:\WINDOWS\iyvkqri.exe
O4 - HKLM\..\Run: [VGA] C:\Documents and Settings\Admin\Application  Data\qwltbun.exe
O4 - HKLM\..\Run: [sycors] C:\WINDOWS\system32\sycors.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\system32\.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
O4 - HKLM\..\Run: [srtserv] C:\Documents and Settings\All Users\Application  Data\srtserv\RECYCLER.exe
O4 - HKLM\..\Run: [Taskman]  C:\RECYCLER\S-1-5-21-4063470495-3125683251-835126026-2421\cwuoc.exe
O4 - HKLM\..\Run: [Advanced EHTAL Enable]  C:\DOCUME~1\Admin\LOCALS~1\Temp\311973.exe
O4 - HKLM\..\Run: [facemoods] "C:\Program  Files\facemoods.com\facemoods\1.4.17.2\facemoodssrv.exe" /md I
O4 - HKCU\..\Run: [msnmsgs] C:\Documents and Settings\Admin\Application  Data\qwltbun.exe
O4 - HKCU\..\Run: [Driversys] C:\WINDOWS\iyvkqri.exe
O4 - HKCU\..\Run: [VGA] C:\Documents and Settings\Admin\Application  Data\qwltbun.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P]  C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKCU\..\Run: [psysnew]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe
O4 - HKCU\..\Run: [psysjo3]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe
O4 - HKCU\..\Run: [Tjii321]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fjidg.exe
O4 - HKCU\..\Run: [Tesyh1]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1459\fjwbeb.exe
O4 - HKCU\..\Run: [Tnawy]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe
O4 - HKCU\..\Run: [psysjo32]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe
O4 - HKCU\..\Run: [p55w]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\p55bd.exe
O4 - HKCU\..\Run: [psuu4]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe
O4 - HKCU\..\Run: [Tpp3]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\gpp3g.exe
O4 - HKCU\..\Run: [Teswf]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe
O4 - HKCU\..\Run: [Tnaww]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Documents and  Settings\Admin\Application Data\Octoshape\Octoshape Streaming  Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [Fnfx]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe
O4 - HKCU\..\Run: [Fvbk]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe
O4 - HKCU\..\Run: [jaqq]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe
O4 - HKCU\..\Run: [sdjwe]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe
O4 - HKCU\..\Run: [Fgfk]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe
O4 - HKCU\..\Run: [jkqq]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe
O4 - HKCU\..\Run: [games]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe
O4 - HKCU\..\Run: [ju7bd]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe
O4 - HKCU\..\Run: [Obeees] C:\Documents and Settings\Admin\Application  Data\Obeees.exe
O4 - HKCU\..\Run: [t7vd]  C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup]  C:\WINDOWS\aadrive32.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx  IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1614895754-2052111302-1417001333-1005\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0  (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O4 - Startup: GameRanger.lnk = C:\Documents and Settings\Admin\Application  Data\GameRanger\GameRanger\GameRanger.exe
O4 - Startup: igfxtray.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\sqzgrzl.dll
O23 - Service: WindowsUpdater - Unknown owner -  C:\WINDOWS\system32\upd\svchost.exe (file missing)

8. Сделайте новые логи AVZ и HijackThis

9. Cделайте лог MBAM и дайте ссылку на файл лога.

Для предотвращения повторного заражения рекомендую:

- Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

frenzrb · 16 июн 2011

Вроде как всё стало хорошо. Большое спасибо за указанную помощь.

Nod · 16 июн 2011

пункт 9 выполните и дайте ссылку на файл лога.

frenzrb · 16 июн 2011

http://exfile.ru/184954 - lod mbam

Nod · 17 июн 2011

Удалите в MBAM все найденное:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
c:\documents and settings\all users\application data\srtserv (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1214 (Backdoor.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1457 (Trojan.Palevo) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\doctorweb\quarantine\pdfconvertersetup.exe (Adware.Agent) -> No action taken.
c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe (Heuristics.Shuriken) -> No action taken.
c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
c:\documents and settings\all users\application data\srtserv\task.dat (Worm.AutoRun) -> No action taken.
c:\documents and settings\all users\application data\srtserv\set.dat (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\umdmgr.log (IRCBot.Trace) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1214\Desktop.ini (Backdoor.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1457\Desktop.ini (Trojan.Palevo) -> No action taken.
Нажмите, чтобы раскрыть...

Войти или зарегистрироваться

Решена - Trojan.Win32.Ddox.ci

frenzrb Newbie

Nod Moderator

frenzrb Newbie

Nod Moderator

frenzrb Newbie

Nod Moderator

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Trojan.Win32.Ddox.ci

frenzrb Newbie

Nod Moderator

frenzrb Newbie

Nod Moderator

frenzrb Newbie

Nod Moderator

Поделиться этой страницей

Быстрый поиск