Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус Trojan.Win32.Ddox.ci (http://forum.oszone.net/showthread.php?t=210820)

cir1us 09-07-2011 12:44 1710072
Вирус Trojan.Win32.Ddox.ci
 
Собственно сабж.Хватанул где-то этого добра,помогите избавиться

Логи:

virusinfo_syscure.zip - http://exfile.ru/191541
virusinfo_syscheck.zip - http://exfile.ru/191540
log.txt - http://exfile.ru/191542
info.txt - http://exfile.ru/191543

zirreX 09-07-2011 13:25 1710085
Здравствуйте!

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('C:\Users\Noxx\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll','');
 QuarantineFile('C:\Users\Noxx\AppData\Local\Temp\ALSysIO.sys','');
 QuarantineFile('C:\Windows\system32\sakadse.dll','');
 QuarantineFile('c:\windows\kmsem\kmservice.exe','');
 QuarantineFile('C:\Windows\system32\8B79.tmp','');
 DeleteFile('C:\Windows\system32\8B79.tmp');
 DeleteFile('C:\Windows\system32\sakadse.dll');
 DeleteFile('C:\Users\Noxx\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll');
 DelBHO('6B5863A0-C43F-4C0A-982B-CC0E9125783F');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.


Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Users\Noxx\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll (file missing)

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

cir1us 09-07-2011 19:26 1710236
Проделал все пункты.Логи по ссылке
http://exfile.ru/191679

Да и строчки
Цитата:
Цитата zirreX
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Users\Noxx\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll (file missing) »
не было в списке HiJackThis

zirreX 09-07-2011 19:52 1710250
C:\Windows\system32\sakadse.dll - Trojan.Win32.Agent.nzks

Удалите в MBAM:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\snda\woool (Spyware.OnlineGames) -> No action taken.
Сделайте новые логи по правилам

cir1us 10-07-2011 00:10 1710354
virusinfo_syscure.zip, http://exfile.ru/191760
virusinfo_syscheck.zip, http://exfile.ru/191759
log.txt, http://exfile.ru/191764
info.txt http://exfile.ru/191763

zirreX 10-07-2011 02:01 1710380
В логах чисто. Если проблема решена, можете приступить к выполнению следующих рекомендаций.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.


Установите все последние обновления Windows
Обновите Adobe Reader до последней версии.
Обновите Java до последней версии.
Обновите Adobe Flash Player до последней версии


Для предотвращения заражения в будущем, рекомендую вам придерживаться этих правил:
- не работать за компьютером с правами администратора
- использовать браузер Firefox с дополнением NoScript.
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
- Регулярно устанавливать обновления Windows и обновлять антивирусные базы.

cir1us 10-07-2011 13:00 1710525
К сожалению проблема не решилась((
Страницы все еще загружаются в кодах,а когда загружаются нормально вылезает табличка "В системе обнаружен вирус. Использование интернета нежелательно."

zirreX 10-07-2011 15:07 1710617
Сделайте лог TDSSKiller

iskander-k 10-07-2011 18:08 1710701
+
Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

cir1us 10-07-2011 18:09 1710702
http://exfile.ru/191989 лог TDSSKiller
http://exfile.ru/191999 лог Universal Virus Sniffer (UVS)

После проверки TDSSKiller сбросилась лицензия на винду и табличка больше не появляется в браузерах.

iskander-k 10-07-2011 18:46 1710714
Цитата:
Цитата cir1us
После проверки TDSSKiller сбросилась лицензия на винду и табличка больше не появляется в браузерах. »

утилита исправила\удалила два объекта. Rootkit.Boot.Cidox.a

Проблема решена ?

cir1us 10-07-2011 18:58 1710719
Да проблема решилась.Какие дальнейшие действия?Проделать пункты по посту #6 zirreX ?

SolarSpark 10-07-2011 19:36 1710741
cir1us, верно, следуйте рекомендациям из 6 поста
предварительно скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

cir1us 10-07-2011 19:53 1710751
Всем большое спасибо за помощь


Время: 02:51.

Время: 02:51.
© OSzone.net 2001-