Решена - Помогите побороть Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем tindy, 26 июл 2011.

Статус темы:
Закрыта.
  1. tindy

    tindy Newbie

    Здравствуйте! AVPTool не помог, поэтому пишу сюда. Проблема с браузером (пользуюсь мозилой) - выдает баннер об обновлении системы безопасности браузера в связи с обнаружением в системе Trojan.Win32.Ddox.ci. После этого часто при открытии сайтов страницы отображаются некорректно, например так - http://webfile.ru/5459038, кроме того, при открытии сайтов периодически происходит переадресация на сайт http://rostelecom.ru/ где написано о перегрузке канала и необходимости ввода номера мобильного телефона, отправки смс и т.п., чтобы задействовать "резервный канал" (не знаю связано ли это с вирусом или просто совпадение), хотя, если обновить страницы, они открываются. Надеюсь на вашу помощь!
    вот ссылки на логи - (virusinfo_syscure.zip) http://webfile.ru/5458889, (virusinfo_syscheck.zip) http://webfile.ru/5458891, (hijackthis.log) http://webfile.ru/5458886
     
  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\WINDOWS\system32\fjrlnsn.dll');
     DeleteFile('C:\DOCUME~1\tanya\LOCALS~1\Temp\j1SAGPG7.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\a9r1vqhx.SYS');
     DeleteFile('C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE');
     DeleteFile('C:\Program Files\Trojan Remover\Trjscan.exe');
     DeleteFile('mfehidk.sys');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} -  C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: Google Toolbar Helper -  {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google  Toolbar\GoogleToolbar.dll
    O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
    O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
    O20 - AppInit_DLLs: C:\WINDOWS\system32\fjrlnsn.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - По тем же причинам обновите Service Pack 2 до Service Pack 3
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  3. tindy

    tindy Newbie

  4. oleg

    oleg Expert Вирусоборец

    Удалите в Mbam следующие строки
    на этом лечение завершено.
     
  5. tindy

    tindy Newbie

    Огромное спасибо за помошь!!

    После удаления указанных строк в MBAM лог такой http://webfile.ru/5462558
    Это нормально?
     
  6. oleg

    oleg Expert Вирусоборец

    Да, в логах чисто.
     
  7. tindy

    tindy Newbie

    :)

    Спасибо! :) Пойду загляну в тему Желающим поблагодарить :):cool:
     
Статус темы:
Закрыта.

Поделиться этой страницей