Четыре дня прошло после заражения, мои силы кончались... Помогите пожалуста избавиться от Trojan.Win32.Ddox.ci Вот логи: http://webfile.ru/5483602 http://webfile.ru/5483606 http://webfile.ru/5483608
1. Отключите антивирус/фаервол, интернет. 2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; DeleteFile('C:\Windows\system32\idkldme.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится. 4. Пофиксите в HijackThis следующие строчки: Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе. Код: O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file) O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file) O20 - AppInit_DLLs: C:\Windows\system32\idkldme.dll O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing) 5. Сделайте новые логи AVZ и HijackThis 6. Cделайте лог MBAM и дайте ссылку на файл лога. После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
Вирус остался... При попытке выполнить пункт "3", а точнее выполнить скрипт программа AVZ перестает работать и закрывается. Тем неменее я выполнил все следущие пункты. Вот логи: http://webfile.ru/5484121 http://webfile.ru/5484122 http://webfile.ru/5484125 hijackthis http://webfile.ru/5484126 mbam
Конечно остался, ведь пункт 3 не выполнили, если программа AVZ закрывается, делаем следующее: 1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt Внимание: файл должен называться именно так и не как больше и лежать он должен в корне диска C. 2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe 3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.
Та же проблема при выполнении скрипа. Программа перестает работать и автоматически закрывается.. Ещё раз проверил компьютер програмой AVPTool, нашло 1 вирус и.. О БОГИ, всё стало на свои места. Вирус пропал! Хотя программа MBAM се ещё перехватывает какие то перебросы данных.. Будем надеяться что на этом всё. P.S. Nod, крайне признателен за помощ! Спасибо.
