Решена - Пожалуйста, помогите удалить вирус Trojan.win32.ddox.ci!

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Kaena, 24 июл 2011.

  1. Kaena

    Kaena Newbie

    Добрый вечер.
    Эксплорером почти не пользусь, словила вирус через Оперу. Не пойму только как, обычно всегда настороженно отношусь ко всем новым файлам.
    AVP tool не помог.
    hijackthis - http://webfile.ru/5454843
    virusinfo_syscheck.zip - http://webfile.ru/5454844
    virusinfo_syscure.zip - http://webfile.ru/5454847
    Заранее спасибо!
     
    Kaena, 24 июл 2011
    #1
  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\windows\temp\guardguard.exe');
 TerminateProcessByName('c:\program files\agentxxi.exe');
 DeleteFile('c:\program files\agentxxi.exe');
 DeleteFile('c:\windows\temp\guardguard.exe');
 DeleteFile('C:\WINDOWS\system32\ifygyuf.dll');
 DeleteFile('C:\DOCUME~1\Tanusha\LOCALS~1\Temp\bNq9TOVe.sys');
 DeleteFile('C:\Documents and Settings\Tanusha\Local Settings\Temp\~DFABF1.tmp');
 DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
 DelBHO('{88888888-8888-8888-8888-888888888888}');
 DelBHO('{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5}');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     O2 - BHO: Helper_bho - {71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {8D46F3A9-3C5A-899C-8E77-0E9EC4C36527} - (no file)
O4 - HKCU\..\Run: [agentXXI.exe] "C:\Program Files\agentXXI.exe"
O20 - AppInit_DLLs: C:\WINDOWS\system32\ifygyuf.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
    oleg, 25 июл 2011
    #2
  3. Kaena

    Kaena Newbie

    Уря! Эта гадость больше не выскакивает -) Спасибочки!
    Пункт 1-6 выполнен. Пофиксила в HijackThis только 3 строчку, других не нашла.

    Новые логи:
    hijackthis - http://webfile.ru/5456450
    virusinfo_syscheck.zip - http://webfile.ru/5456452
    virusinfo_syscure.zip - http://webfile.ru/5456456
    mbam - http://webfile.ru/5456457
    (Программа MBAM при полном сканировании системы нашла кучу троянов и т.д. Это на самом деле так? Мне надо что-нибудь делать?)
     
    Kaena, 25 июл 2011
    #3
  4. oleg

    oleg Expert Вирусоборец

    Удалите в mbam следующие строки:

     
    oleg, 25 июл 2011
    #4

Поделиться этой страницей