Решена - Заразился Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем stepan063, 24 июн 2011.

Статус темы:
Закрыта.
  1. stepan063

    stepan063 Junior User

    Здравствуйте.
    Обращаюсь к Вам второй раз.Предыдущая тема была к моему глубокому сожалению удалена по непонятным мне причинам.
    У меня проблема связана,по всей видимости,с активностью Trojan.Win32.Ddox.ci.
    В браузере вылезает плавающее окно с информацией о проникнувшем вирусе и предложением обновить браузер.Сам проблему не могу исправить.Вся надежда на Вас.
    Вот логи:
    http://webfile.ru/5403424
    http://webfile.ru/5403438
     
    Последнее редактирование модератором: 28 июн 2011
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ExecuteWizard('TSW', 2, 3, true);
    RebootWindows(true);
    end.
    
    4. Пофиксите в HijackThis следующие строчки:

    Код:
    O2 - BHO:  Спутник@Mail.Ru  - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O4 - HKCU\..\Run: [AISTOnLine] "C:\Program  Files\АИСТ  Он-Лайн\AISTOnline.exe"
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting]  %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    
    5. Запустите AVZ, и выполните стандартный скрипт 2, и дайте ссылку на файл virusinfo_sysCHECK.zip

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    - НЕ используйте в работе Internet Explorer его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. stepan063

    stepan063 Junior User

  4. stepan063

    stepan063 Junior User

    Последнее редактирование: 24 июн 2011
  5. Nod

    Nod Moderator

    Удалите в MBAM:
    Полностью удалите WebMoney клиента и обязательно смените все пароли на нем, включая пароли доступа ключей.
     
  6. Nod

    Nod Moderator

    Проверьте файл
    на VirusTotal.com , результат сообщите здесь.

    Проблема решена ?
     
  7. stepan063

    stepan063 Junior User

    comctl32.dll
    Submission date:
    2011-06-24 15:07:15 (UTC)
    Current status:
    queued queued analysing finished
    [​IMG]
    Result:
    0/ 42 (0.0%)

    Проблема,к моему сожалению,не решена(((
    Всё тоже самое.
     
    Последнее редактирование: 24 июн 2011
  8. stepan063

    stepan063 Junior User

    Можете чем-нибудь ещё помочь?
     
  9. Nod

    Nod Moderator

    конечно, скачайте и запустите лечащую утилиту AVPTool после проверки сообщите результат.
     
  10. stepan063

    stepan063 Junior User

  11. Nod

    Nod Moderator

    проблема решена?
     
    Последнее редактирование: 28 июн 2011
  12. stepan063

    stepan063 Junior User

    Да.Решена.Спасибо большое.
    А можно как-нибудь проверить нет ли остатков этого вируса в системе?
     
  13. Nod

    Nod Moderator

    в логах активного заражения не вижу.
     
  14. stepan063

    stepan063 Junior User

    Спасибо ещё раз.
     
  15. Nod

    Nod Moderator

    Обращайтесь.
     
Статус темы:
Закрыта.

Поделиться этой страницей