В работе - Заразился Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Fokker-Omsk, 25 июн 2011.

  1. Fokker-Omsk

    Fokker-Omsk Newbie

    Здравствуйте!

    У меня с утра такая вот проблема. в любом браузере у меня вылазит сообщение о вирусе Trojan.Win32.Ddox.ci и о том,что нужно платно обновить версию. Так же,при входе на сайт ВКонтате нужно вводить свой номер телефона,а после отправить смс для потверждения. Некоторые интернет страницы не открываются вообще.Проверяла Dr.Web, Kaspersky AVPTool, tdsskiller - но толку 0. На компьтере установлен Norton Internet Security 2010 или 2011 не помню...

    Помогите,плиз!!!

    http://exfile.ru/187642 - virusinfo_cure.zip

    http://exfile.ru/187644 - virusinfo_syscure.zip

    http://exfile.ru/187646 - hijackthis.log

    все сделал как написано у вас вот здесь http://www.adminplanet.ru/t2067.html !!!!
     
    Fokker-Omsk, 25 июн 2011
    #1
  2. Fokker-Omsk

    Fokker-Omsk Newbie

    вот только почему то вместо virusinfo_sysCHEK.zip у меня AVZ создает фаил virusinfo_cure.zip поэтому его и выложил проверял три раза одинаково нет файла virusinfo_sysCHEK.zip но заместо него есть фаил virusinfo_cure.zip???
     
    Fokker-Omsk, 25 июн 2011
    #2
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\program files\mail.ru\sputnik\sputnikflashplayer.exe');
 TerminateProcessByName('c:\windows\temp\teamviewer\version6\teamviewer.exe');
 TerminateProcessByName('c:\program files\norton internet security\engine\18.6.0.29\ccsvchst.exe'); 
 QuarantineFile('c:\windows\temp\teamviewer\version6\teamviewer.exe','');
 QuarantineFile('c:\program files\norton internet security\engine\18.6.0.29\ccsvchst.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS','');
 QuarantineFile('c:\program files\mail.ru\sputnik\sputnikflashplayer.exe','');
 DeleteFile('c:\program files\mail.ru\sputnik\sputnikflashplayer.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS');
 DeleteFile('c:\program files\norton internet security\engine\18.6.0.29\ccsvchst.exe');
 DeleteFile('c:\windows\temp\teamviewer\version6\teamviewer.exe');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('TSW', 2, 3, true);
 ExecuteWizard('TSW', 1, 3, true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Код:
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_00] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_01] rundll32 advpack.dll,LaunchINFSectionEx IE7tweak.inf,DefaultInstall,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_013] rebuild.exe (User 'LOCAL SERVICE')
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    - Обязательно обновите браузер Internet Explorer до последней версии '8 или 9', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 25 июн 2011
    #3
  4. Fokker-Omsk

    Fokker-Omsk Newbie

    у меня только один вопрос если я выполню первый скрип у меня не перестанут работать norton internet security и teamviewer потому что в первом скрипте для AVZ есть ссылка на эти программы вроде как они вирусы а мне чтот не как нехочется преходить с нортана который пропустил только один этот вирус из однокласников на дырявого каспера вебера и нортана которые их сотнями пропускают с нортоном покрайнемере у меня система уже полгода бес сбоев работает а с этими тремя душлаками и трёх месяцев нежила!!!

    я имею ввиду вот эти строки:

    QuarantineFile('c:\program files\norton internet security\engine\18.6.0.29\ccsvchst.exe','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS','');
    DeleteFile('C:\WINDOWS\system32\Drivers\SYMEVENT.SYS');
    DeleteFile('c:\program files\norton internet security\engine\18.6.0.29\ccsvchst.exe');
     
    Последнее редактирование: 27 июн 2011
    Fokker-Omsk, 27 июн 2011
    #4
  5. Nod

    Nod Moderator

    Как вам будет угодно, удалите из скрипта эти 3 строки:

    После выполнения всех пунктов выполните следующее:
    выполните следующее:
     
    Nod, 27 июн 2011
    #5

Поделиться этой страницей