Решена - Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем valeros, 5 июл 2011.

Статус темы:
Закрыта.
  1. valeros

    valeros Newbie

    При работе в браузере IE8 и Mozila спонтанно возникает оконце следующего содержания:
    В системе обнаружен вирус. Использование интернета нежелательно.Браузер зафиксировал попытки внесения изменений в его работу. Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
    рекомендуем немедленно установить последнее обновление безопасности браузера.Trojan.Win32.Ddox.ci– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программДля безопасного продолжения работы необходимо обновить браузерKB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

    В общем, ничего нового...
    Спасибо заранее за помощь! ;)

    hijackthis.rar - http://webfile.ru/5422016
    virusinfo_syscheck.zip - http://webfile.ru/5422026
    virusinfo_syscure.zip - http://webfile.ru/5422031
     
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\rserver30\newtstop.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - Default URLSearchHook is missing
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. valeros

    valeros Newbie

Статус темы:
Закрыта.

Поделиться этой страницей