Решена - Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем kastorovoemaslo, 5 июл 2011.

Статус темы:
Закрыта.
  1. kastorovoemaslo

    kastorovoemaslo Junior User

    kastorovoemaslo, 5 июл 2011
    #1
  2. Nod

    Nod Moderator

    анализирую логи, ждите.
     
    Nod, 5 июл 2011
    #2
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 StopService('MpKsl0da2f037');
 StopService('MpKsl0e3c8e40');
 StopService('MpKsl10552421');
 StopService('MpKsl12d11c49');
 StopService('MpKsl1a5a2972');
 StopService('MpKsl42d08141');
 StopService('MpKsl432d4670');
 StopService('MpKsl4b37d731');
 StopService('MpKsl50e8dfd0');
 StopService('MpKsl5cddf1ef');
 StopService('MpKsl6282dc10');
 StopService('MpKsl649d804c');
 StopService('MpKsl6a29480b');
 StopService('MpKsl75ed2574');
 StopService('MpKsl7f25070d');
 StopService('MpKsl986c99d1');
 StopService('MpKsl9a295cb1');
 StopService('MpKsl9a481594');
 StopService('MpKsla49be728');
 StopService('MpKsla9c6048b');
 StopService('MpKslae5de28c');
 StopService('MpKslb4516354');
 StopService('MpKslb6246931');
 StopService('MpKslcd128c6a');
 StopService('MpKslec78a32b');
 QuarantineFile('C:\Windows\system32\guard32.dll','');
 QuarantineFile('C:\Program Files\LibreOffice 3.4\program\unopkg.com','');
 QuarantineFile('C:\Program Files\LibreOffice 3.4\program\mcnttype.dll','');
 QuarantineFile('C:\Windows\system32\wintab32.DLL','');
 QuarantineFile('C:\Windows\system32\Pen_Tablet.dll','');
 QuarantineFile('C:\Windows\system32\muqqtwc.dll','');
 DeleteFile('C:\Windows\system32\muqqtwc.dll');
 DeleteFile('C:\Windows\system32\Pen_Tablet.dll');
 DeleteFile('C:\Windows\system32\wintab32.DLL');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A0C6E221-5E61-4E1E-8311-BCEBC28A53EC}\MpKsl0da2f037.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{0C90E386-FF21-4CA1-B535-AED47A125A13}\MpKsl0e3c8e40.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{88D18D70-03B5-4C68-B1C6-71DA662EB627}\MpKsl10552421.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9F844929-5C11-41C3-BFB1-C87199F338F3}\MpKsl12d11c49.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{88D18D70-03B5-4C68-B1C6-71DA662EB627}\MpKsl1a5a2972.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A5030B26-C9F7-4B57-9140-0792F7E2D970}\MpKsl42d08141.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E11052C0-4821-4F63-8125-B149F4DD2251}\MpKsl432d4670.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8D1C75B8-F092-4B0A-BBFA-2E7E5D0A04E5}\MpKsl4b37d731.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{7214729E-C5B7-4107-A72A-A8F0E7AEE0B6}\MpKsl50e8dfd0.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A98B92C2-9A4C-46A4-B887-2F5C51ADA711}\MpKsl5cddf1ef.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D193204F-D46F-44CA-9B46-D0B778A2F504}\MpKsl6282dc10.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{0C90E386-FF21-4CA1-B535-AED47A125A13}\MpKsl649d804c.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{3D6AEF37-EEF6-44EB-BE79-92CB044DE0F6}\MpKsl6a29480b.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{37CCDAF9-252D-4D9A-AB62-A5E8C992AC2E}\MpKsl75ed2574.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8D1C75B8-F092-4B0A-BBFA-2E7E5D0A04E5}\MpKsl7f25070d.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{7214729E-C5B7-4107-A72A-A8F0E7AEE0B6}\MpKsl986c99d1.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A0C6E221-5E61-4E1E-8311-BCEBC28A53EC}\MpKsl9a295cb1.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{8D1C75B8-F092-4B0A-BBFA-2E7E5D0A04E5}\MpKsl9a481594.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{064C7B55-FE3B-4F0C-8C74-B9B28B333013}\MpKsla49be728.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{0C90E386-FF21-4CA1-B535-AED47A125A13}\MpKsla9c6048b.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{4CDAC835-D786-4752-9615-D937C0EF5F76}\MpKslae5de28c.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{37CCDAF9-252D-4D9A-AB62-A5E8C992AC2E}\MpKslb4516354.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D193204F-D46F-44CA-9B46-D0B778A2F504}\MpKslb6246931.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{628E2D7B-2CF8-439A-ADC7-92470669958A}\MpKslcd128c6a.sys');
 DeleteFile('c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9F844929-5C11-41C3-BFB1-C87199F338F3}\MpKslec78a32b.sys');\
 DeleteService('MpKsl0da2f037');
 DeleteService('MpKsl0e3c8e40');
 DeleteService('MpKsl10552421');
 DeleteService('MpKsl12d11c49');
 DeleteService('MpKsl1a5a2972');
 DeleteService('MpKsl42d08141');
 DeleteService('MpKsl432d4670');
 DeleteService('MpKsl4b37d731');
 DeleteService('MpKsl50e8dfd0');
 DeleteService('MpKsl5cddf1ef');
 DeleteService('MpKsl6282dc10');
 DeleteService('MpKsl649d804c');
 DeleteService('MpKsl6a29480b');
 DeleteService('MpKsl75ed2574');
 DeleteService('MpKsl7f25070d');
 DeleteService('MpKsl986c99d1');
 DeleteService('MpKsl9a295cb1');
 DeleteService('MpKsl9a481594');
 DeleteService('MpKsla49be728');
 DeleteService('MpKsla9c6048b');
 DeleteService('MpKslae5de28c');
 DeleteService('MpKslb4516354');
 DeleteService('MpKslb6246931');
 DeleteService('MpKslcd128c6a');
 DeleteService('MpKslec78a32b');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R0 - HKLM\Software\Microsoft\Internet  Explorer\Search,SearchAssistant =  http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=1417cf5a000000000  000000000000000&tlver=1.4.19.19&affID=17160
R3 - URLSearchHook: ToolbarURLSearchHook Class -  {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney  Advisor\tbhelper.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c  start  http://www.avg.com/ru.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUAR   QAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEAT   gA"&"inst=NwA3AC0ANAAzADUAOQA0ADcAOQA5ADUALQBCAEEAUgA5AEcAKwAxAC0ARgBMACsAOQAtAF  gATwAzADYAKwAxAC0AWABPADkAKwAxAA"&"prod=90"&"ver=9.0.894
[COLOR=Blue]Если вам [U][B]НЕ[/B][/U] известны следующие ДНС адреса в строках ниже, пофиксите эти строки.
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D8E584E-8612-4E3C-BD3A-050D9F1D79E8}: NameServer = 213.87.71.65 213.87.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D462BF8A-D197-44B5-9034-648B4FD1252E}: NameServer = 213.87.0.1 213.87.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{67161944-1F8F-4F3B-8BD9-F24FCCD38987}: NameServer = 91.144.184.3 91.144.186.3[/COLOR]
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Обновитесь Service Pack до Service Pack 1
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
    Nod, 5 июл 2011
    #3
    1 человеку нравится это.
  4. kastorovoemaslo

    kastorovoemaslo Junior User

    Огромное спасибо, все произошло)
     
    kastorovoemaslo, 6 июл 2011
    #4
  5. Nod

    Nod Moderator

    произошло? или прошло?:)
     
    Nod, 6 июл 2011
    #5
  6. kastorovoemaslo

    kastorovoemaslo Junior User

    хаха)) прошло ага)
     
    kastorovoemaslo, 6 июл 2011
    #6
Статус темы:
Закрыта.

Поделиться этой страницей