Решена - как удалить вирус Trojan.Win32.Ddox.ci

Здравствуйте.

Каждый раз когда захожу в браузер на любую страницу,всегда появляеться всплывающее окно:

В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

Сделал всё как написано в инструкции по борьбе с вирусами.

1.http://exfile.ru/188670 (AVZ)
2.http://exfile.ru/188664 (Hijackthis)

 

Анализирую логи, подождите..

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('D:\WINDOWS\system32\hidec','');
 DeleteFile('D:\WINDOWS\system32\lwsyqih.dll');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\IFK4.tmp');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
O20 - AppInit_DLLs: D:\WINDOWS\system32\lwsyqih.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

VirusТotal показал:http://www.virustotal.com/file-scan...990649845f0ac99be2e2c0393000c31961-1309331584
1.http://exfile.ru/188682 (HijackThis )
строку 020 не нашли
2.http://exfile.ru/188683 (АВЗ)

Я почему то не могу на англиский язык переходить

 

лог по сканированию:http://exfile.ru/188690
там нашлись инфицированые файлы,как и было сказано,под конец сканирование их удалить,я так и сделал.

Спасибо вам большое,ошибка это вроде ба как больше не появляеться,спасибо вам,я очень благодарен

 

если бы вы были внимательны, то там сказано НЕ УДАЛЯТЬ их самому, ну да ладно.

Пожалуйста, обращайтесь

 

ну там же написано с низу было,что нужно удилить по окончанию:
4. Отмечаем строки которые нужно удалить и жмём "Удалить выделенные" (Remove Selected).
а как бы нечего страшного,то что удалил их?

 

Читайте внимательно цитирую:

 

ну этот блокнот у меня открылся только тогда когда я их удалил.
Ну так то нечего страшного то что я их удалил?