Решена - Помогите решить проблему с Trojan.Win32.Ddox.ci

Здравствуйте!
Нужна Ваша помощь, уже который день мучаюсь из-за этого не понятного вируса, пробывал искать его утилитой Cureit - подозрительного ничего не нашел, НОД стоит на компе тоже не видит ничего((! У меня две системы одна XP, вторая Вин 7 x86, подцепил этот вирус на XP всплывает окно с таким содержанием (В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010) ) иногда это окно не всплывает, а не открывает страницы совсем! На Виндус 7 в браузере Мозила такого всплывающего окна нет, но страницы не открываются, открываются белые окна с надписями ( tp://img-fotki.yandex.net/get/5011/maclakowa-lyuda.d/0_STATIC83ee8_b207a3ae_XXS" width="75" height="75" title="белая роза" alt="белая роза" /></a></td><td class="item"><a href="/users/avelonlpv/view/384054/" onclick="return Lego.c(&quot;stred/pid=106/cid=1918/path=face.recent&quot;,this)"><img src="http://img6-fotki.yandex.net ), но почему-то иногда сайты открываются! Скрипты делал на XP:
http://exfile.ru/188423 - sysCURE
http://exfile.ru/188425 - sysCHEK
http://exfile.ru/188427 - hijackthis.log

Заранее благодарен за помощь!

 

Анализирую логи, ждите..

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iEFyd8sm.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\aukeem0y.SYS','');
 QuarantineFile('C:\WINDOWS\system32\puxulqd.dll','');
 DeleteFile('C:\WINDOWS\system32\puxulqd.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\aukeem0y.SYS');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iEFyd8sm.sys');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inet123.ru/
O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
O20 - AppInit_DLLs: C:\WINDOWS\system32\puxulqd.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Для предотвращения повторного заражения рекомендую:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

Здравствуйте еще раз, отчет с VirusTotal:
File name:
quarantine.zip
Submission date:
2011-06-28 12:56:02 (UTC)
Current status:
finished
Result:
2/ 42 (4.8%)

Compact
Print results
​

Antivirus Version Last Update Result AhnLab-V32011.06.28.022011.06.28-AntiVir7.11.10.1372011.06.28-Antiy-AVL2.0.3.72011.06.27-Avast4.8.1351.02011.06.28-Avast55.0.677.02011.06.28-AVG10.0.0.11902011.06.28-BitDefender7.22011.06.28-CAT-QuickHeal11.002011.06.28-ClamAV0.97.0.02011.06.28-Commtouch5.3.2.62011.06.28-Comodo92112011.06.28-DrWeb5.0.2.033002011.06.28-eSafe7.0.17.02011.06.27-eTrust-Vet36.1.84122011.06.28-F-Prot4.6.2.1172011.06.28-F-Secure9.0.16440.02011.06.28-Fortinet4.2.257.02011.06.28W32/Agent.HUVB!trGData222011.06.28-IkarusT3.1.1.104.02011.06.28-Jiangmin13.0.9002011.06.27-K7AntiVirus9.106.48482011.06.27-Kaspersky9.0.0.8372011.06.28-McAfee5.400.0.11582011.06.28-McAfee-GW-Edition2010.1D2011.06.27-Microsoft1.70002011.06.28-NOD3262462011.06.28-Norman6.07.102011.06.28-nProtect2011-06-28.012011.06.28-Panda10.0.3.52011.06.27-PCTools8.0.0.52011.06.28-Prevx3.02011.06.28-Rising23.64.01.032011.06.28-Sophos4.66.02011.06.28-SUPERAntiSpyware4.40.0.10062011.06.28-Symantec20111.1.0.1862011.06.28-TheHacker6.7.0.1.2442011.06.28-TrendMicro9.200.0.10122011.06.28-TrendMicro-HouseCall9.200.0.10122011.06.28-VBA323.12.16.32011.06.28-VIPRE97172011.06.28VirtumondeViRobot2011.6.28.45382011.06.28-VirusBuster14.0.98.02011.06.27-

 

File name:quarantine.zip
Submission date:2011-06-28 12:56:02 (UTC)
Current status:finished
Result:2 /42 (4.8%)

Fortinet 4.2.257.0 2011.06.28 W32/Agent.HUVB!tr

VIPRE 9717 2011.06.28 Virtumonde

Это из той таблицы результата списка VirusTotal

 

Выполните далее, пункты 4,5,6.
После чего отпишитесь, проблема решена ?

 

При фиксе не нашел вот эту строчку - O20 - AppInit_DLLs: C:\WINDOWS\system32\puxulqd.dll

Сделал новые логи http://exfile.ru/188468 - сускьюре
http://exfile.ru/188470 - сусчек
http://exfile.ru/188473 - hijackthis.log

Отчет по MBAM залью чуть позже, так как пока проверяет.
На данный момент пока загружал файлы в трекер, окно не всплывало как в первый раз когда заливал, думаю что смогли побороть его)). Я еще потом отчет от проверки антивируса скину и поточнее скажу исчез или нет!
Огромное спасибо Вам!!!

 

Ок, жду отчета. Обращайтесь

 

http://exfile.ru/188531 наверно это тот отчет? Боюсь просто, что мог не праильно понять, если что скажите, исправлю)))
Еще раз огромное спасибо!!!