Решена - Помогите решить проблему с Trojan.Win32.Ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Lesha86, 28 июн 2011.

Статус темы:
Закрыта.
  1. Lesha86

    Lesha86 Junior User

    Здравствуйте!
    Нужна Ваша помощь, уже который день мучаюсь из-за этого не понятного вируса, пробывал искать его утилитой Cureit - подозрительного ничего не нашел, НОД стоит на компе тоже не видит ничего((! У меня две системы одна XP, вторая Вин 7 x86, подцепил этот вирус на XP всплывает окно с таким содержанием (В системе обнаружен вирус. Использование интернета нежелательно.
    Браузер зафиксировал попытки внесения изменений в его работу.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
    рекомендуем немедленно установить последнее обновление безопасности браузера.
    Trojan.Win32.Ddox.ci
    – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
    Для безопасного продолжения работы необходимо обновить браузер
    KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
    KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)
    ) иногда это окно не всплывает, а не открывает страницы совсем! На Виндус 7 в браузере Мозила такого всплывающего окна нет, но страницы не открываются, открываются белые окна с надписями ( tp://img-fotki.yandex.net/get/5011/maclakowa-lyuda.d/0_STATIC83ee8_b207a3ae_XXS" width="75" height="75" title="белая роза" alt="белая роза" /></a></td><td class="item"><a href="/users/avelonlpv/view/384054/" onclick="return Lego.c(&quot;stred/pid=106/cid=1918/path=face.recent&quot;,this)"><img src="img6-fotki.yandex.net ), но почему-то иногда сайты открываются! Скрипты делал на XP:
    exfile.ru/188423 - sysCURE
    exfile.ru/188425 - sysCHEK
    exfile.ru/188427 - hijackthis.log

    Заранее благодарен за помощь!
     
  2. Nod

    Nod Moderator

    Анализирую логи, ждите..
     
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iEFyd8sm.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aukeem0y.SYS','');
     QuarantineFile('C:\WINDOWS\system32\puxulqd.dll','');
     DeleteFile('C:\WINDOWS\system32\puxulqd.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\aukeem0y.SYS');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iEFyd8sm.sys');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW', 2, 3, true);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inet123.ru/
    O4 - HKUS\S-1-5-19\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce:  [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK  SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce:  [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe  advpack.dll,LaunchINFSection  C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default  user')
    O20 - AppInit_DLLs: C:\WINDOWS\system32\puxulqd.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
    Для предотвращения повторного заражения рекомендую:

    - НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  4. Lesha86

    Lesha86 Junior User

    Здравствуйте еще раз, отчет с VirusTotal:
    File name:
    quarantine.zip
    Submission date:
    2011-06-28 12:56:02 (UTC)
    Current status:
    finished
    Result:
    2/ 42 (4.8%)


    Compact
    Print results

    Antivirus Version Last Update Result AhnLab-V32011.06.28.022011.06.28-AntiVir7.11.10.1372011.06.28-Antiy-AVL2.0.3.72011.06.27-Avast4.8.1351.02011.06.28-Avast55.0.677.02011.06.28-AVG10.0.0.11902011.06.28-BitDefender7.22011.06.28-CAT-QuickHeal11.002011.06.28-ClamAV0.97.0.02011.06.28-Commtouch5.3.2.62011.06.28-Comodo92112011.06.28-DrWeb5.0.2.033002011.06.28-eSafe7.0.17.02011.06.27-eTrust-Vet36.1.84122011.06.28-F-Prot4.6.2.1172011.06.28-F-Secure9.0.16440.02011.06.28-Fortinet4.2.257.02011.06.28W32/Agent.HUVB!trGData222011.06.28-IkarusT3.1.1.104.02011.06.28-Jiangmin13.0.9002011.06.27-K7AntiVirus9.106.48482011.06.27-Kaspersky9.0.0.8372011.06.28-McAfee5.400.0.11582011.06.28-McAfee-GW-Edition2010.1D2011.06.27-Microsoft1.70002011.06.28-NOD3262462011.06.28-Norman6.07.102011.06.28-nProtect2011-06-28.012011.06.28-Panda10.0.3.52011.06.27-PCTools8.0.0.52011.06.28-Prevx3.02011.06.28-Rising23.64.01.032011.06.28-Sophos4.66.02011.06.28-SUPERAntiSpyware4.40.0.10062011.06.28-Symantec20111.1.0.1862011.06.28-TheHacker6.7.0.1.2442011.06.28-TrendMicro9.200.0.10122011.06.28-TrendMicro-HouseCall9.200.0.10122011.06.28-VBA323.12.16.32011.06.28-VIPRE97172011.06.28VirtumondeViRobot2011.6.28.45382011.06.28-VirusBuster14.0.98.02011.06.27-
     
  5. Lesha86

    Lesha86 Junior User

    File name:quarantine.zip
    Submission date:2011-06-28 12:56:02 (UTC)
    Current status:finished
    Result:2 /42 (4.8%)

    Fortinet 4.2.257.0 2011.06.28 W32/Agent.HUVB!tr

    VIPRE 9717 2011.06.28 Virtumonde

    Это из той таблицы результата списка VirusTotal
     
  6. Nod

    Nod Moderator

    Выполните далее, пункты 4,5,6.
    После чего отпишитесь, проблема решена ?
     
  7. Lesha86

    Lesha86 Junior User

    При фиксе не нашел вот эту строчку - O20 - AppInit_DLLs: C:\WINDOWS\system32\puxulqd.dll

    Сделал новые логи exfile.ru/188468 - сускьюре
    exfile.ru/188470 - сусчек
    exfile.ru/188473 -
    hijackthis.log

    Отчет по MBAM залью чуть позже, так как пока проверяет.
    На данный момент пока загружал файлы в трекер, окно не всплывало как в первый раз когда заливал, думаю что смогли побороть его)). Я еще потом отчет от проверки антивируса скину и поточнее скажу исчез или нет!
    Огромное спасибо Вам!!!
     
  8. Nod

    Nod Moderator

    Ок, жду отчета. Обращайтесь;)
     
  9. Lesha86

    Lesha86 Junior User

    exfile.ru/188531 наверно это тот отчет? Боюсь просто, что мог не праильно понять, если что скажите, исправлю)))
    Еще раз огромное спасибо!!!
     
Статус темы:
Закрыта.

Поделиться этой страницей