Решена - вирус Trojan.Win32.Ddox.ci как удалить ((

подцепил братишка! когда хотел зайти на сервак Cs!. теперь не в контакт. да и в браузеры пашут хренова (( помогите пжл! !
http://webfile.ru/5454631 LOG
http://webfile.ru/5455044 virusinfo_syscure.zip
http://webfile.ru/5455052 virusinfo_syscheck.zip
если нужно мыло kazak999@mail.ru

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\WINDOWS\system32\auxmurf.dll');
 DeleteFile('C:\Files\svchost.exe');
 DeleteFile('C:\Program Files\Common Files\PAC7302\PASnap.exe');
 DeleteFile('C:\System Volume Information\_restore{480643AA-F08B-484C-92FA-36821A4CB154}\RP190\A0167454.msi');
 DeleteFile('C:\WINDOWS\Installer\741a1e.msi');
 DeleteFile('C:\WINDOWS\PixArt\PAC7302\PASnap.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

O4 - HKCU\..\Run: [ctfmon] C:\Files\svchost.exe
O4 - HKCU\..\Run: [YI9B2F0F2EXHXBVHX] C:\systemhost\24FC2AE3074.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\auxmurf.dll
O23 - Service: Korsari - Gorod poteryannih korabley Drivers Auto Removal  (pr2amvnb) (pr2amvnb) - Akella - C:\WINDOWS\system32\pr2amvnb.exe

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- По тем же причинам, обновите Service Pack 2 до ServicePack 3
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

я всё сделал до 4 пункта и у меня всё стало отлично...!
немного не понял зачем делать 5 пункт ..!!
при фиксе, я не нашел все кроме
O23 - Service: Korsari - Gorod poteryannih korabley Drivers Auto Removal (pr2amvnb) (pr2amvnb) - Akella - C:\WINDOWS\system32\pr2amvnb.exe

 

http://webfile.ru/5456225 MBAM

 

Удалите в mbam следующие строки:

5 пункт, выполнять нужно было для повторного анализа и проверки логов, дабы удостовериться, что вирусной активности не осталось после перезагрузки компьютера.

 

Спасибо вам )) отличный сайт ...!! я рад что наткнулся на вас ))

 

Спасибо, можете рекомендовать сайт друзьям и знакомым.

 

Конечно )) у меня ещё один вопрос.. что это за чудо Антивирусник.. просто ни касперский не dr web .. не могли найти Эти вирусы, а если и находили, то при нажатие кнопки удалить.. они висли и комп перезагружался ((

 

Как ни странно это Человек с помощью тщательного анализа логов, собранных специальными программами AVZ и Hijackthis, можно обнаружить вредоносные файлы, и предложить скрипт, для их дальнейшего удаления.