Решена - Trojan.Win32.Ddox.ci пожалуйста, помогите

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем SergioIFC, 23 июн 2011.

Статус темы:
Закрыта.
  1. SergioIFC

    SergioIFC Newbie

    Вчера прошла по ссылке, присланной мне со взломанного аккаунта подруги на сайте vkontakte.ru, в результате подхватила этот троян. Буду очень благодарна за помощь.
    http://exfile.ru/download/187054
    http://exfile.ru/download/187053
     
    SergioIFC, 23 июн 2011
    #1
  2. Nod

    Nod Moderator

    Подождите немного, анализирую логи.
     
    Nod, 23 июн 2011
    #2
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Удалите и Создайте новую точку восстановления системы, для этого:

    2.1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2.2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    3. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    4. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\program files\stardock\desktopgadgets\sunny day weather\sunny day weather.exe');
 TerminateProcessByName('c:\program files\stardock\desktopgadgets\sunny day clock\sunny day clock.exe');
 TerminateProcessByName('c:\windows\samsung\panelmgr\ssmmgr.exe');
 TerminateProcessByName('c:\program files\stardock\impulse\now\impulsenow.exe');
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 StopService('RoxLiveShare9');
 StopService('Roxio UPnP Renderer 11');
 QuarantineFile('D:\Launch_Retrieve.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\Windows\system32\drivers\PCTCore.sys','');
 QuarantineFile('C:\Windows\DOWNLO~1\CLMULT~1.OCX','');
 QuarantineFile('ResLuComServer_3_3.DLL','');
 QuarantineFile('C:\WindowsSystem32\IoLogMsg.dll','');
 QuarantineFile('C:\Users\Katun\131114079\131114079.EXE','');
 QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbui.dll','');
 QuarantineFile('C:\Program Files\Stardock\Object Desktop\IconPackager\ipcpl.cpl','');
 QuarantineFile('C:\Program Files\Stardock\Object Desktop\DeskScapes3\deskscapes.dll','');
 QuarantineFile('C:\Program Files\Stardock\Fences\FencesMenu.dll','');
 QuarantineFile('C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe','');
 QuarantineFile('C:\Program Files\Roxio Creator 2009\Digital Home 11\RoxioUPnPRenderer11.exe','');
 QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\ICONPA~1\shellext.dll','');
 QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbhelp.dll','');
 QuarantineFile('C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WBLIND.dll','');
 QuarantineFile('C:\Windows\system32\wbload.dll','');
 QuarantineFile('C:\Windows\system32\cfljvcf.dll','');
 QuarantineFile('c:\progra~1\stardock\object~1\window~1\vistasrv.exe','');
 QuarantineFile('c:\program files\stardock\desktopgadgets\sunny day weather\sunny day weather.exe','');
 QuarantineFile('c:\program files\stardock\desktopgadgets\sunny day clock\sunny day clock.exe','');
 QuarantineFile('c:\windows\samsung\panelmgr\ssmmgr.exe','');
 QuarantineFile('c:\program files\stardock\impulse\now\impulsenow.exe','');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('c:\windows\samsung\panelmgr\ssmmgr.exe');
 DeleteFile('c:\program files\stardock\desktopgadgets\sunny day clock\sunny day clock.exe');
 DeleteFile('c:\program files\stardock\desktopgadgets\sunny day weather\sunny day weather.exe');
 DeleteFile('C:\Windows\system32\cfljvcf.dll');
 DeleteFile('C:\Windows\system32\wbload.dll');
 DeleteFile('C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WBLIND.dll');
 DeleteFile('C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbhelp.dll');
 DeleteFile('C:\PROGRA~1\Stardock\OBJECT~1\ICONPA~1\shellext.dll');
 DeleteFile('C:\Program Files\Roxio Creator 2009\Digital Home 11\RoxioUPnPRenderer11.exe');
 DeleteFile('C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe');
 DeleteFile('C:\Program Files\Stardock\Fences\FencesMenu.dll');
 DeleteFile('C:\Program Files\Stardock\Impulse\Now\ImpulseNow.exe');
 DeleteFile('C:\Program Files\Stardock\Object Desktop\DeskScapes3\deskscapes.dll');
 DeleteFile('C:\Program Files\Stardock\Object Desktop\IconPackager\ipcpl.cpl');
 DeleteFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbui.dll');
 DeleteFile('C:\Users\Katun\131114079\131114079.EXE');
 DeleteFile('C:\WindowsSystem32\IoLogMsg.dll');
 DeleteFile('ResLuComServer_3_3.DLL');
 DeleteFile('C:\Windows\DOWNLO~1\CLMULT~1.OCX');
 DeleteFile('C:\Windows\system32\drivers\PCTCore.sys');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\Launch_Retrieve.exe');
 DeleteService('RoxLiveShare9');
 DeleteService('Roxio UPnP Renderer 11');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fetg565gh131114079a131114079');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{48989C74-D5FC-4F17-BA40-3D825C716836}'); 
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    5. Пофиксите в HijackThis следующие строчки:

    Код:
    O20 - AppInit_DLLs: C:\Windows\system32\cfljvcf.dll
O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - (no file)
O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - (no file)
    6. Сделайте новые логи AVZ и HijackThis

    7. Cделайте лог MBAM и дайте ссылку на файл лога.

    Для предотвращения повторного заражения рекомендую:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 23 июн 2011
    #3
Статус темы:
Закрыта.

Поделиться этой страницей