В работе - Trojan.Win32.Ddox.ci не могу зайти на многие сайты

http://exfile.ru/188819
http://exfile.ru/188820
http://exfile.ru/188819

 

1. Обязательно установите все 3 патча от Microsoft:
http://www.microsoft.com/technet/security/...n/MS08-067.mspx
http://www.microsoft.com/technet/security/...n/ms08-068.mspx
http://www.microsoft.com/technet/security/...n/ms09-001.mspx

2. Скачайте архив KidoKiller.zip и распакуйте его в отдельную папку на зараженном компьютере.
После чего запустите его и дождитесь завершения процесса сканирования.
Перезагрузите компьютер.

3 Отключите антивирус/фаервол, интернет.

4. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

5. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 StopService('o1394bul');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\VKSaver\vksaver3.dll','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP90\A0286131.exe','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP90\A0285226.exe','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP89\A0280939.exe','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP89\A0279808.inf','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP88\A0279716.inf','');
 QuarantineFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP88\A0279708.exe','');
 QuarantineFile('C:\Distr\Dwg\Fpd.dll','');
 QuarantineFile('C:\Distr\Acad_надстройки\Dwg\Fpd.dll','');
 QuarantineFile('C:\WINDOWS\system32\msfeedssync.exe','');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\o1394bul.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\pxtdipow.sys','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\VKSaver\vksaver3.dll');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\pxtdipow.sys');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\o1394bul.sys');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe');
 DeleteFile('C:\WINDOWS\system32\msfeedssync.exe');
 DeleteFile('C:\Distr\Acad_надстройки\Dwg\Fpd.dll');
 DeleteFile('C:\Distr\Dwg\Fpd.dll');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP88\A0279708.exe');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP88\A0279716.inf');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP89\A0279808.inf');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP89\A0280939.exe');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP90\A0285226.exe');
 DeleteFile('C:\System Volume Information\_restore{A2852C0C-0670-489C-8168-3EAAFFA9D355}\RP90\A0286131.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Service');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KM_Path7');
 DeleteService('o1394bul');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

6. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

 	  	O1 - Hosts: --
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path4] SorryKamba
 	  	O4 - HKLM\..\Policies\Explorer\Run: [KM_Path3] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path2] SorryKamba
O4 - HKLM\..\Policies\Explorer\Run: [KM_Path] SorryKamba
 	  	O4 - HKLM\..\Policies\Explorer\Run: [KM_Path7] SorryKamba
 	  	O18 - Protocol: mmdtp -  {E62C17EA-223C-4022-881D-2796CCD31CA6} - C:\Program  Files\Золотой  фонд\mmdtp.dll
 	  	O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\VKSaver\vksaver3.dll

7. Сделайте новые логи AVZ и HijackThis

8. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 8) проверьте, остался ли вирус? Если да, выполните следующее:

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- По тем же причинам, необходимо обновить "Service Pack 2" до Service Pack 3
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).