Решена - Опять этот trojan.win32.ddox.ci

rezident11 · 29 июн 2011

Помогите пожалуйста, второй раз эту хрень подцепил, ни чего от нее незащищает. Страници в исходняке, в контакт не пускает, недает скачивать файлы оперой, и банер этот trojan.win32.ddox.ci

Вот логи:
http://exfile.ru/188787
http://exfile.ru/188788
http://exfile.ru/188793

Nod · 30 июн 2011

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('D:\Program Files\AtomPark\ePochta Mailer\AtomicMailSender.exe','');
 QuarantineFile('C:\Program Files\AtomPark\ePochta Extractor\AtomicEmailHunter.exe','');
 QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\PROGRA~1\EASYSE~1\BHO\13SUPE~1.DLL','');
 QuarantineFile('C:\WINDOWS\system32\xcghoib.dll','');
 QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
 DeleteFile('C:\WINDOWS\system32\xcghoib.dll');
 DeleteFile('C:\PROGRA~1\EASYSE~1\BHO\13SUPE~1.DLL');
 DeleteFile('C:\Program Files\AtomPark\ePochta Extractor\AtomicEmailHunter.exe');
 DeleteFile('D:\Program Files\AtomPark\ePochta Mailer\AtomicMailSender.exe');
 DeleteFile('C:\Program Files\AutocompletePro\AcRemoteUpdate.exe');
 DelBHO('{0286A85D-CD62-43bb-B7A9-A87D1D027160}');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.drp.su/
R3 - Default URLSearchHook is missing
O2 - BHO: Super-Search -Find more of what you need -  {0286A85D-CD62-43bb-B7A9-A87D1D027160} -  C:\PROGRA~1\EASYSE~1\BHO\13SUPE~1.DLL
O4 - HKCU\..\Policies\Explorer\Run: [Test System Key] C:\WINDOWS\system32\dprsrv32.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User '?')
O4 -  HKUS\S-1-5-21-329068152-1770027372-682003330-1004\..\Policies\Explorer\Run:  [Test System Key] C:\WINDOWS\system32\dprsrv32.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')
O8 - Extra context menu item: Atomic Email Hunter - C:\Program Files\AtomPark\ePochta Extractor\ie.htm
O9 - Extra button: ePochta Extractor -  {491A6C2B-1046-486b-8A8F-7D26BCB79A9B} - C:\Program  Files\AtomPark\ePochta Extractor\ie.htm (HKCU)
O9 - Extra 'Tools' menuitem: ePochta Extractor -  {491A6C2B-1046-486b-8A8F-7D26BCB79A9B} - C:\Program  Files\AtomPark\ePochta Extractor\ie.htm (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS\system32\xcghoib.dll
5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Скачайте лечащую утилиту AVPTool и запустите сканирование, по завершению которого, отпишитесь здесь о статусе вашей проблемы.
Нажмите, чтобы раскрыть...

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

rezident11 · 1 июл 2011

AhnLab-V3 2011.07.01.01 2011.07.01 -
AntiVir 7.11.10.186 2011.07.01 -
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 -
Avast5 5.0.677.0 2011.07.01 -
AVG 10.0.0.1190 2011.07.01 -
BitDefender 7.2 2011.07.01 -
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9241 2011.07.01 -
DrWeb 5.0.2.03300 2011.07.01 -
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8420 2011.07.01 -
F-Prot 4.6.2.117 2011.06.30 -
F-Secure 9.0.16440.0 2011.07.01 -
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 -
Ikarus T3.1.1.104.0 2011.07.01 -
Jiangmin 13.0.900 2011.06.30 -
K7AntiVirus 9.106.4859 2011.06.30 -
Kaspersky 9.0.0.837 2011.07.01 -
McAfee 5.400.0.1158 2011.07.01 -
McAfee-GW-Edition 2010.1D 2011.07.01 -
Microsoft 1.7000 2011.07.01 -
NOD32 6255 2011.07.01 -
Norman 6.07.10 2011.07.01 -
nProtect 2011-07-01.01 2011.07.01 -
Panda 10.0.3.5 2011.06.30 -
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 -
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 -
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 -
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9737 2011.07.01 -
ViRobot 2011.7.1.4543 2011.07.01 -
VirusBuster 14.0.104.0 2011.06.30 -
Additional information
Show all
MD5 : ede6c5c5d36e63706781f5a27857f62e
SHA1 : 94adfc73b0c3fa21fea01a7901e0109a168b2a2a
SHA256: abac054daf2193b507e8c84ddd710082bc738828a136a904c87e70d074a178d4
ssdeep: 49152:RQp8P1I1le1YSs5hI1UnZAYW80XDMYrOyNlgS6Wy16MWd7XOQ:RQp8P1Iqyh5tDl0zMYr
OfS6Bsd7H
File size : 2276900 bytes
First seen: 2011-07-01 09:34:41
Last seen : 2011-07-01 09:34:41
TrID:
ZIP compressed archive (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ExifTool:
file metadata
FileSize: 2.2 MB
FileType: ZIP
MIMEType: application/zip
ZipBitFlag: 0x0009
ZipCRC: 0xf0b4ed37
ZipCompressedSize: 798088
ZipCompression: Deflated
ZipFileName: 2011-05-25/avz00002.dta
ZipModifyDate: 2008:03:17 09:52:18
ZipRequiredVersion: 20
ZipUncompressedSize: 1860608

это VirusТotal

Nod · 1 июл 2011

я понял, выполняйте остальные пункты.

rezident11 · 1 июл 2011

O20 - AppInit_DLLs: C:\WINDOWS\system32\xcghoib.dll вот этой строки не было в HiJackThis

Nod · 1 июл 2011

Пункт 5 и 6 выполните, что проблемой?

rezident11 · 4 июл 2011

Вирус больше не беспокоит, вот логи.
http://webfile.ru/5420747
http://webfile.ru/5420748
http://webfile.ru/5420750
http://webfile.ru/5420751

Nod · 4 июл 2011

Удалите в MBAM строки:

Код:

[B]Зараженные ключи в реестре:[/B]
HKEY_CLASSES_ROOT\CLSID\{0286A85D-CD62-43bb-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{EE53711B-0711-4999-88F0-33DC043623B1} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{48C9E279-C48C-48C1-9AFC-E4E9E5E5E350} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SuperSearch.BHOBridge.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SuperSearch.BHOBridge (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0286A85D-CD62-43BB-B7A9-A87D1D027160} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2EA256ED-74B3-4322-B1E0-53D00C693E6E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SuperSearch.SuperSearchFirefoxMgr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\SuperSearch.SuperSearchFirefoxMgr (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78FF2F80-613A-47D7-8871-912B1236F704} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DTC-Solutions (Adware.EZlife) -> No action taken.
[B]
Зараженные параметры в реестре:[/B]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

[B]Зараженные папки:[/B]
c:\program files\easysearch (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\chrome (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\chrome\content (Adware.SuperSearch) -> No action taken.

[B]Зараженные файлы:[/B]
c:\program files\daemon tools pro\autoloader_dt_loader_0.4.exe (Trojan.Swisyn) -> No action taken.
c:\program files\dtc-solutions\Duck\1.1.4.0\uninstall.exe (Adware.EZlife) -> No action taken.
c:\system volume information\_restore{c0a793a9-5d1d-4de6-9e42-23a8ab1cd89d}\RP26\A0045730.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c0a793a9-5d1d-4de6-9e42-23a8ab1cd89d}\RP28\A0045781.dll (Adware.SuperSearch) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\Алексей\мои документы\Shareman\программы\daemon tools pro advanced 4.41.0314.0232\autoloader_dt_loader_0.4.exe (Trojan.Swisyn) -> No action taken.
c:\documents and settings\Алексей\мои документы\Shareman\программы\ultraiso premium edition 9.3.6 build 2750\ultraiso premium edition 9.3.6 build 2750\ultraiso premium edition 9.3.6.2750\keygen.exe (Riskware.Tool.CK) -> No action taken.
c:\documents and settings\Алексей\рабочий стол\411_keygen.exe (Dont.Steal.Our.Software) -> No action taken.
c:\documents and settings\Алексей\рабочий стол\epochta harvester crack_3000419233-.rar.exe (PUP.SmsPay) -> No action taken.
d:\информационно-развлекательный портал своими руками. (видеокурс)\информационно-развлекательный (видеокурс)\dle_portal_svoimi_rukami\фадеева н. - информационно-развлекательный портал своими руками 2010\Dopmat\macromedia dreamweaver v 8.0 russian\Keygen.exe (Riskware.Tool.CK) -> No action taken.
d:\информационно-развлекательный портал своими руками. (видеокурс)\информационно-развлекательный (видеокурс)\dle_portal_svoimi_rukami\фадеева н. - информационно-развлекательный портал своими руками 2010\Dopmat\total commander\SOFT\hide2tray\MHOOK.DLL (Spyware.Passwords) -> No action taken.
d:\информационно-развлекательный портал своими руками. (видеокурс)\информационно-развлекательный портал своими руками. (видеокурс)\dle_portal_svoimi_rukami\фадеева н. - информационно-развлекательный портал своими руками 2010\dopmat\macromedia dreamweaver v 8.0 russian\keygen.exe (Riskware.Tool.CK) -> No action taken.
d:\информационно-развлекательный портал своими руками. (видеокурс)\информационно-развлекательный портал своими руками. (видеокурс)\dle_portal_svoimi_rukami\фадеева н. - информационно-развлекательный портал своими руками 2010\dopmat\total commander\soft\hide2tray\mhook.dll (Spyware.Passwords) -> No action taken.
e:\Document\Shareman\программы\coreldraw graphics suite x5 15.2.0.661\coreldraw graphics suite x5 15.2.0.661\keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\Document\Shareman\программы\divx plus pro 8.1 build 1.3.0.51\divx plus 8.1.build 1.3.0.51\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\1\avz4\Infected\2011-04-25\avz00001.dta (Adware.SuperSearch) -> No action taken.
e:\1\avz4\quarantine\2011-05-23\avz00002.dta (PUP.PSWTool.ProductKey) -> No action taken.
e:\1\avz4\quarantine\2011-05-25\avz00003.dta (Adware.SuperSearch) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-autumn_wonderland_3d_screensaver_v1.0_build_1.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-battleship_missouri_3d_screensaver_v1.0_build_2.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-crystal_fireplace_3d_screensaver_v1.0_build_5.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-deep_space_3d_screensaver_v1.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-digital_clock_3d_screensaver_v1.0_build_4.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-dutch_windmills_3d_screensaver_v1.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-faraway_planet_3d_screensaver_v1.0_build_1.exe (PUP.Hacktool.Patcher) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-fireside_christmas_3d_screensaver_v1.0_build_7.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-fog_lake_screensaver_v1.1_build_2.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-haunted_house_3d_screensaver_v2.0_build_6.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-ice_clock_3d_screensaver_v2.0_build_5.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-koi_fish_3d_screensaver_v1.0_build_4.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-lagoon_3d_screensaver_v1.0_build_6.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-mayan_waterfall_3d_screensaver_v1.0_build_5.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-medieval_castle_3d_screensaver_v1.1_build_4.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-mountain_waterfall_3d_screensaver_v1.0_build_1.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-santa_claus_3d_screensaver_v1.0_build_1.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-snow_village_3d_screensaver_v1.1_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-stock_car_racing_3d_screensaver_v1.0_build_1.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-sun_village_3d_screensaver_v1.0_build_2.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-sweethearts_3d_screensaver_v1.1_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-the_lost_watch_ii_3d_screensaver_v1.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-tyrannosaurus_rex_3d_screensaver_v1.0_build_4.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-valentine_3d_screensaver_v1.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-valentine_musicbox_3d_screensaver_v1.0_build_2.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-vintage_aircrafts_3d_screensaver_v1.0_build_6.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-water_clock_3d_screensaver_v1.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-western_railway_3d_screensaver_v2.0_build_3.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-wildflowers_3d_screensaver_v1.0_build_1.exe (Trojan.Bumat) -> No action taken.
e:\3planesoft screensavers collection 25.12.2010\3planesoft screensavers collection 25.12.2010\Crack\crk-winter_wonderland_3d_screensaver_v1.0_build_2.exe (Trojan.Bumat) -> No action taken.
e:\the_bat__v4.2.6_pro_ml\KeyGen\keygen.exe (Trojan.Agent.CK) -> No action taken.
e:\дистрибютив\adobe_premiere_pro_cs3_multi-5\adobe premiere pro cs3 multi-5_by_jee-host\adobe premiere pro cs3\Crack\adobe-master-cs3-keygen.exe (Malware.Tool) -> No action taken.
e:\дистрибютив\LOQUENDO\Italiano\_patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\дистрибютив\LOQUENDO\loquendo engine\loquendo_all-voices-patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\дистрибютив\LOQUENDO\Spanish\diego_argentino\loquendo_diego_argentino\_patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\мои документы\дистр\дистр\pocket pc essentials megapack (2009multi)\Pock_PC\Pock_PC\spb online\cr-keymaker.exe (Malware.Packer.Gen) -> No action taken.
e:\мои документы\дистр\дистр\pocket pc essentials megapack (2009multi)\Pock_PC\Pock_PC\soti pocket controller pro. v6.01\Patch\myPCP.exe (HackTool.Patcher) -> No action taken.
e:\мои документы\дистр\разработка\adobe dreamweaver cs4\adobe dreamweaver cs4\дополнения\lab_plugs_in\Keygen\pluginlab_keygen.exe (Trojan.Downloader) -> No action taken.
e:\мои документы\дистр\система\coreldraw graphics suite x3 13 sp1\cdgs_x3_rus\keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\documents and settings\Алексей\0.11621082539565508.exe (Trojan.Agent.Gen) -> No action taken.
c:\WINDOWS\AppPatch\vmjamga.dat (Trojan.Apppatch) -> No action taken.
c:\program files\easysearch\BHO\deploymenthelper.exe (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\isupersearchxpcom.xpt (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\MFC42U.DLL (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\supersearchlicense.txt (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\SVConfig.ini (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\uninst.exe (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\what.is.sitevacuum.txt (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\chrome.manifest (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\install.rdf (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\chrome\content\script-injector.js (Adware.SuperSearch) -> No action taken.
c:\program files\easysearch\BHO\FFExt\chrome\content\supersearch.xul (Adware.SuperSearch) -> No action taken.

rezident11 · 14 июл 2011

Удалил, проблема исчезла, но теперь Опера не заходит на Gmail и Mail.ru ящики, да и на другие сайты, использующие защищенное соединение, а internet explorer жутко тормозит.

rezident11 · 14 июл 2011

Вот логи
http://webfile.ru/5438117
http://webfile.ru/5438120
http://webfile.ru/5438123

oleg · 14 июл 2011

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\program files\adguard\adblock.agent.exe');
 StopService('SenFiltService');
 DeleteFile('c:\program files\adguard\adblock.agent.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Senfilt.sys');
 DeleteFile('C:\WINDOWS\system32\xcghoib.dll');
 DeleteFile('C:\Program Files\GrabJPG\GrabJPG.exe.bak');
 DeleteService('SenFiltService');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
O4 - HKCU\..\Run:  [DIMЗагрузка   обновления...1300677  038363] "c:\Program Files\Corel\CorelDRAW Graphics Suite  X5\Draw\DIM.exe" "c:\documents and settings\all users\application  data\corel\downloads\540215253_005023\1300677038363\dim_params.xml"  -Launch=3 -uibase="c:\documents and  settings\Алексей\application  data\corel\messages\540215253_005023\ru\messagecache2\workflow"
O8 - Extra context menu item: Atomic Email Hunter - C:\Program Files\AtomPark\ePochta Extractor\ie.htm
O9 - Extra button: ePochta Extractor -  {491A6C2B-1046-486b-8A8F-7D26BCB79A9B} - C:\Program  Files\AtomPark\ePochta Extractor\ie.htm (HKCU)
O9 - Extra 'Tools' menuitem: ePochta Extractor -  {491A6C2B-1046-486b-8A8F-7D26BCB79A9B} - C:\Program  Files\AtomPark\ePochta Extractor\ie.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\adguard\libs\redirect.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\xcghoib.dll
5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Скачайте лечащую утилиту AVPTool и запустите сканирование, по завершению которого, отпишитесь здесь о статусе вашей проблемы.
Нажмите, чтобы раскрыть...

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

rezident11 · 15 июл 2011

O10 - Unknown file in Winsock LSP: c:\program files\adguard\libs\redirect.dll--- эта строка повторяется раз 20 и не фиксится.
O20 - AppInit_DLLs: C:\WINDOWS\system32\xcghoib.dll --а этой нету!

oleg · 15 июл 2011

что с проблемой?

rezident11 · 17 июл 2011

Опера на Mail заходит, в GoogleMail нет, пишет "Не удаётся завершить защищённую транзакцию", IE заходит, но сильно тормозит.

rezident11 · 17 июл 2011

ЛОГИ:
http://webfile.ru/5443109
http://webfile.ru/5443127
http://webfile.ru/5443128

oleg · 18 июл 2011

6 пункт выполните!

rezident11 · 18 июл 2011

http://webfile.ru/5444967

rezident11 · 20 июл 2011

Ну помогите уже кто ни будь, пожалуйста

oleg · 21 июл 2011

проверьте файл c:\WINDOWS\system32\CPLDAPU\ProduKey.exe на virustotal.com результат сообщите тут

Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
 ExecuteRepair(15);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

rezident11 · 22 июл 2011

File name:
ProduKey.exe
Submission date:
2011-07-22 08:07:33 (UTC)
Current status:
finished
Result:
20/ 43 (46.5%) VT Community

goodware
Safety score: 100.0%

Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.07.22.02 2011.07.22 -
AntiVir 7.11.12.52 2011.07.22 SPR/PSW.ProductKey.AW.1
Antiy-AVL 2.0.3.7 2011.07.22 -
Avast 4.8.1351.0 2011.07.22 -
Avast5 5.0.677.0 2011.07.22 -
AVG 10.0.0.1190 2011.07.22 HackTool.MKB
BitDefender 7.2 2011.07.22 -
CAT-QuickHeal 11.00 2011.07.22 PSWTool.ProductKey.aw (Not a Virus)
ClamAV 0.97.0.0 2011.07.22 PUA.Tool.Nirsofer.ProductKey-2
Commtouch 5.3.2.6 2011.07.22 W32/MalwareF.NJWJ
Comodo 9468 2011.07.22 -
DrWeb 5.0.2.03300 2011.07.22 Tool.PassSteel.377
Emsisoft 5.1.0.8 2011.07.22 Riskware.PSWTool.Win32.ProductKey.aw!A2
eSafe 7.0.17.0 2011.07.21 -
eTrust-Vet 36.1.8458 2011.07.22 -
F-Prot 4.6.2.117 2011.07.22 W32/MalwareF.NJWJ
F-Secure 9.0.16440.0 2011.07.22 -
Fortinet 4.2.257.0 2011.07.22 HackerTool/ProductKey
GData 22 2011.07.22 -
Ikarus T3.1.1.104.0 2011.07.22 -
Jiangmin 13.0.900 2011.07.21 Packed.Krap.cgqi
K7AntiVirus 9.108.4933 2011.07.21 Riskware
Kaspersky 9.0.0.837 2011.07.22 not-a-virusSWTool.Win32.ProductKey.aw
McAfee 5.400.0.1158 2011.07.22 Tool-ProduKey
McAfee-GW-Edition 2010.1D 2011.07.21 Tool-ProduKey
Microsoft 1.7104 2011.07.22 -
NOD32 6314 2011.07.22 Win32/PSWTool.ProductKey
Norman 6.07.10 2011.07.22 Suspicious_Gen2.YNYU
nProtect 2011-07-22.01 2011.07.22 -
Panda 10.0.3.5 2011.07.21 Trj/CI.A
PCTools 8.0.0.5 2011.07.22 -
Prevx 3.0 2011.07.22 -
Rising 23.67.03.03 2011.07.21 -
Sophos 4.67.0 2011.07.22 NirSoft
SUPERAntiSpyware 4.40.0.1006 2011.07.22 -
Symantec 20111.1.0.186 2011.07.22 -
TheHacker 6.7.0.1.260 2011.07.22 -
TrendMicro 9.200.0.1012 2011.07.22 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.22 -
VBA32 3.12.16.4 2011.07.21 -
VIPRE 9927 2011.07.22 PSWTool.Win32.ProductKey
ViRobot 2011.7.22.4582 2011.07.22 Not_a_virusSWTool.ProductKey.35840
VirusBuster 14.0.133.0 2011.07.21 -
Additional information
Show all
MD5 : 279c6d1ff7c0dc77d68b6013288b40a8
SHA1 : 21e3620bfab7fa8c9c8ff0414b52a8e3f23d1fc2
SHA256: 8e2373e94bff10ecb08e9e0cdeaa65ed57aec89f99312d3bbd90ab72de4f98f3
ssdeep: 768:WCjVC0+NKbQWwXQX+hrWZfRobEjf7Xn1I+1UDamTac:Wm8KEDXYMCZZoYL51Ue/c
File size : 35840 bytes
First seen: 2009-11-21 18:08:03
Last seen : 2011-07-22 08:07:33
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: NirSoft
copyright....: Copyright (c) 2005 - 2009 Nir Sofer
product......: ProduKey
description..: ProduKey
original name: ProduKey.exe
internal name: ProduKey
file version.: 1.40
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x151E0
timedatestamp....: 0x4B07C873 (Sat Nov 21 11:01:07 2009)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0xD000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0xE000, 0x8000, 0x7400, 7.90, 8d2ad87ed4e6415824ff6b77c8a09903
.rsrc, 0x16000, 0x2000, 0x1400, 3.60, 0feff8c973652cfc022cd5f78011843b

[[ 11 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
ADVAPI32.dll: RegCloseKey
COMCTL32.dll: -
comdlg32.dll: FindTextA
GDI32.dll: SetBkMode
MPR.dll: WNetOpenEnumA
msvcrt.dll: exit
ole32.dll: CoInitialize
SHELL32.dll: SHGetMalloc
USER32.dll: GetDC
WS2_32.dll: -
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 32768
CompanyName: NirSoft
EntryPoint: 0x151e0
FileDescription: ProduKey
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 35 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 1.4
FileVersionNumber: 1.4.0.0
ImageVersion: 0.0
InitializedDataSize: 8192
InternalName: ProduKey
LanguageCode: English (U.S.)
LegalCopyright: Copyright 2005 - 2009 Nir Sofer
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OriginalFilename: ProduKey.exe
PEType: PE32
ProductName: ProduKey
ProductVersion: 1.4
ProductVersionNumber: 1.4.0.0
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2009:11:21 12:01:07+01:00
UninitializedDataSize: 53248

Войти или зарегистрироваться

Решена - Опять этот trojan.win32.ddox.ci

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Опять этот trojan.win32.ddox.ci

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

Nod Moderator

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

rezident11 Junior User

oleg Expert Вирусоборец

rezident11 Junior User

Поделиться этой страницей

Быстрый поиск