Решена - Trojan.Win32.Ddox.ci

Доброго времени суток.
Люди добрые, помогите чем можете.

hijackthis - http://webfile.ru/5420508
virusinfo_syscure - http://webfile.ru/5420511
virusinfo_syscheck - http://webfile.ru/5420512

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\windows\system32\drivers\klumbs.exe');
 QuarantineFile('C:\WINDOWS\system32\yjondof.dll','');
 QuarantineFile('c:\windows\system32\drivers\klumbs.exe','');
 DeleteFile('c:\windows\system32\drivers\klumbs.exe');
 DeleteFile('C:\WINDOWS\system32\yjondof.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9); 
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-filezz.com
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} -  C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O4 - HKLM\..\Run: [MicrSoft] C:\WINDOWS\system32\MicrSoft.exe
O4 - HKLM\..\Run: [Turbine Download Manager Tray Icon] "C:\Program  Files\Turbine\Turbine Download Manager\TurbineDownloadManagerIcon.exe"
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll 	  	O20 - AppInit_DLLs: C:\WINDOWS\system32\yjondof.dll
O23 - Service: klumbasis (klumbas) - SuperSpeed LLC - C:\WINDOWS\system32\drivers\klumbs.exe

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Аналогично нужно обновить и Service Pack до Service Pack 3
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

VirusТotal
Antivirus Version Last Update Result
AhnLab-V3 2011.07.04.01 2011.07.04 -
AntiVir 7.11.10.207 2011.07.04 -
Antiy-AVL 2.0.3.7 2011.07.04 -
Avast 4.8.1351.0 2011.07.04 -
Avast5 5.0.677.0 2011.07.04 -
AVG 10.0.0.1190 2011.07.04 -
BitDefender 7.2 2011.07.04 -
CAT-QuickHeal 11.00 2011.07.04 -
ClamAV 0.97.0.0 2011.07.04 -
Commtouch 5.3.2.6 2011.07.03 -
Comodo 9273 2011.07.04 -
DrWeb 5.0.2.03300 2011.07.04 -
Emsisoft 5.1.0.8 2011.07.04 -
eSafe 7.0.17.0 2011.07.03 -
eTrust-Vet 36.1.8424 2011.07.04 -
F-Prot 4.6.2.117 2011.07.03 -
F-Secure 9.0.16440.0 2011.07.04 -
Fortinet 4.2.257.0 2011.07.02 -
GData 22 2011.07.04 -
Ikarus T3.1.1.104.0 2011.07.04 -
Jiangmin 13.0.900 2011.07.03 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.04 -
McAfee 5.400.0.1158 2011.07.04 -
McAfee-GW-Edition 2010.1D 2011.07.03 -
Microsoft 1.7000 2011.07.04 -
NOD32 6264 2011.07.04 -
Norman 6.07.10 2011.07.04 -
nProtect 2011-07-04.01 2011.07.04 -
Panda 10.0.3.5 2011.07.04 -
PCTools 8.0.0.5 2011.07.04 -
Prevx 3.0 2011.07.04 -
Rising 23.65.00.05 2011.07.04 -
Sophos 4.67.0 2011.07.04 -
SUPERAntiSpyware 4.40.0.1006 2011.07.03 -
Symantec 20111.1.0.186 2011.07.04 -
TheHacker 6.7.0.1.247 2011.07.04 -
TrendMicro 9.200.0.1012 2011.07.04 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.04 -
VBA32 3.12.16.4 2011.07.04 -
VIPRE 9768 2011.07.04 Trojan.Win32.Generic!BT
ViRobot 2011.7.4.4549 2011.07.04 -
VirusBuster 14.0.108.0 2011.07.04 -

Additional information
MD5 : d1d8c9550cd6552c4e4d67c5ae768c02
SHA1 : 99ec87b13ffcea724505a8996ac18c80a6cee0f5
SHA256: 0def33f1ca7e56b387ad997fdbc1953ae892492ffb328b92fcc0d470eb1c1ddb
ssdeep: 393216:Lt9dCUN1VUDZDzsC4r75n709AOOTcLRIUcO3s9zWwbj:Lt9dCUHVgv4Z7hTcLdDccwbj
File size : 16927735 bytes
First seen: 2011-07-04 14:12:06
Last seen : 2011-07-04 14:12:06

VT Community
0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team

в HijackThis не было следующей строчки : O23 - Service: klumbasis (klumbas) - SuperSpeed LLC - C:\WINDOWS\system32\drivers\klumbs.exe
Но строчка O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll была в 5 экземплярах, пофиксить удалось лишь один из них.

AVZ лог - http://webfile.ru/5420942
HijackThis - http://webfile.ru/5420943
MBAM - http://webfile.ru/5421864

 

Спасибо товарищу Nod!
Вирус либо ушел в подполье, либо его нет совсем

 

Обращайтесь