Решена - Trojan.Win32.Ddox.ci - проблема

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем КЭШЛС, 29 июн 2011.

Статус темы:
Закрыта.
  1. КЭШЛС

    КЭШЛС Newbie

    Здравствуйте!
    интернет стал работать нестабильно. некоторые сайты вообще не открываются. кое-какие плохо грузятся.
    из оперы выскакивает сообщение:
    "В системе обнаружен вирус. Использование интернета нежелательно.
    Браузер зафиксировал попытки внесения изменений в его работу.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
    рекомендуем немедленно установить последнее обновление безопасности браузера.
    Trojan.Win32.Ddox.ci
    – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
    Для безопасного продолжения работы необходимо обновить браузер
    KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
    KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"

    сделал логи
    http://webfile.ru/5411313 - лог hijackthis
    http://webfile.ru/5411317 - AVZ лог
     
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('\Device\HarddiskVolume2\Temp\B8C5FFB0-EDD83E30-A81969C0-93E347E0\b807f_xp.exe');
     QuarantineFile('D:\WINDOWS\system32\pr2ak2jc.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ps6ak2jc.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\pe3ak2jc.sys','');
     DeleteFile('\Device\HarddiskVolume2\Temp\B8C5FFB0-EDD83E30-A81969C0-93E347E0\b807f_xp.exe');
     DeleteFile('D:\WINDOWS\system32\gvfmdbg.dll');
     DeleteFile('D:\Temp\pxlcapow.sys');
     DeleteFile('D:\Temp\v50WM1nd.sys');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     DeleteFile('D:\Documents and Settings\Casuals\DoctorWeb\Quarantine\Finalize.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW', 2, 3, true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: UrlSearchHook Class -  {00000000-6E41-4FD3-8538-502F5495E5FC} - D:\Program  Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 - HKCU\..\Run: [Shell] C:\Documents and Settings\All Users\systems.exe
    O20 - AppInit_DLLs: D:\WINDOWS\system32\gvfmdbg.dll
    O23 - Service: magnateh5 Drivers Auto Removal (pr2ak2jc) (pr2ak2jc) - Magnamedia - D:\WINDOWS\system32\pr2ak2jc.exe
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - Обязательно обновите браузер Internet Explorer до последней версии '8', после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. КЭШЛС

    КЭШЛС Newbie

    Нод, спасибо большое. На данный момент вроде всё работает.

    http://webfile.ru/5411853 - результат вирус тотала (нашёл 1 вирус)
    http://webfile.ru/5411857 логhijackthis
    http://webfile.ru/5411867 - лог avz
    http://webfile.ru/5411871 - лог MBAM (нашёл 10 инфецированных объектов)
    http://www.adminplanet.ru/post6771-1.html - тут написано, что самому удалять их не нужно. поэтому я пока MBAM не закрываю, чтобы иметь возможность удалить, если тут будет на это добно =-)
     
  4. Nod

    Nod Moderator

    Удалите в MBAM следующее:

     
  5. КЭШЛС

    КЭШЛС Newbie

    спасибо, всё удалил )
     
Статус темы:
Закрыта.

Поделиться этой страницей