Решена - trojan.win32.ddox.ci (помогите победить)

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем nvkz42rus, 27 июл 2011.

Статус темы:
Закрыта.
  1. nvkz42rus

    nvkz42rus Junior User

  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\WINDOWS\system32\dpnxyck.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe');
     DeleteFile('C:\WINDOWS\system32\5.tmp');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
     R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO:  Спутник@Mail.Ru  - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\dpnxyck.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. nvkz42rus

    nvkz42rus Junior User

  4. oleg

    oleg Expert Вирусоборец

    Удалите в Mbam следующие строки

    сообщите что с проблемой?
     
  5. nvkz42rus

    nvkz42rus Junior User

    Приведенные ниже файлы удалил, ИЕ обновил с Вашего сайта до 8 ой версии(но чот после установки не стал его запускать))). Хром вроде как заработал стабильно, да и вообще хоть заработал! Спасибо!

    Прикладываю ссылку на повторное сканирование MBAM (ну так на всякий случай)
    http://webfile.ru/5461774 mbam-log-2011-07-28 (15-56-59).txt
     
  6. oleg

    oleg Expert Вирусоборец

    Удалите в Mbam следующие строки
     
  7. nvkz42rus

    nvkz42rus Junior User

  8. oleg

    oleg Expert Вирусоборец

    Чисто. Лечение завершено.
     
  9. nvkz42rus

    nvkz42rus Junior User

    Спасибо, возможно да скорее всего это первый человек который помог в реале в данной проблеме...

    Еще раз СПАСИБО за помощь и за затраченное время...
     
Статус темы:
Закрыта.

Поделиться этой страницей