Решена - поймал Trojan.Win32.Ddox.ci

поймал сабж.

HiJackLog http://webfile.ru/5511033

virusinfo_cure http://webfile.ru/5511034
virusinfo_syscheck http://webfile.ru/5511035
virusinfo_syscure http://webfile.ru/5511036

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\WINDOWS\system32\gskdatg.dll');
 DeleteFile('\\?\globalroot\systemroot\system32\xnwbe1v.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\giwglab.exe');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{932CECAA-2BDA-468E-8FF6-1EBFD5C9C367}');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4040
F2 - REG:system.ini:  UserInit=c:windowssystem32userinit.exe,\?globalrootsystemrootsystem32xnw  be1v.exe,\?globalrootsystemrootsystem32giwglab.exe,
O16 - DPF: {932CECAA-2BDA-468E-8FF6-1EBFD5C9C367} - http://195.151.133.19/code/3.15.6.360/crf.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\gskdatg.dll

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

Поскольку, версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Обновите Service Pack 2 до Service Pack 3
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

HiJackLog http://webfile.ru/5528478
virusinfo_cure http://webfile.ru/5528509
virusinfo_syscheck http://webfile.ru/5528488
virusinfo_syscure http://webfile.ru/5528512

Эти строки НЕ были найдены
F2 - REG:system.ini: UserInit=c:windowssystem32userinit.exe,\?globalrootsystemrootsystem32xnw be1v.exe,\?globalrootsystemrootsystem32giwglab.exe,
O16 - DPF: {932CECAA-2BDA-468E-8FF6-1EBFD5C9C367} - http://195.151.133.19/code/3.15.6.360/crf.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\gskdatg.dll

 

Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('D:\autorun.inf');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Cделайте лог MBAM и дайте ссылку на файл лога.

 

http://webfile.ru/5528537
http://webfile.ru/5528538

 

Удалите в MBAM следующие строки:

Код:

[B]Зараженные ключи в реестре:[/B]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131} (Worm.AutoRun) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.

[B]Зараженные папки:[/B]
c:\SYSTEM\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

[B]Зараженные файлы:[/B]
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\SYSTEM\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

После чего, сообщите статус проблемы?

 

Проблема больше не диагностируется. Нижайший поклон и большое спасибо!