Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Проблемы с Trojan.Win32.Ddox.ci (http://forum.oszone.net/showthread.php?t=210885)

Filia 10-07-2011 14:13 1710572
Проблемы с Trojan.Win32.Ddox.ci
 
Вложений: 2
Проблема со всплывающим сообщением об обновлении браузера. Проблем со входом в контакт нет. Некоторые сайты отображаются в виде текста, но парочка обновлений страницы возвращает сайту нормальный вид.

Вот логи:

zirreX 10-07-2011 15:17 1710621
Filia, привет! Сейчас посмотрю логи.

zirreX 10-07-2011 15:40 1710635
Код:
>>  Заблокирован элемент Выполнить в меню Пуск
Сделано намеренно?

• Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь.


• Проверьте на VirusTotal
Код:
c:\SuB\MaRiNe\YeLLoW.exe

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 QuarantineFile('c:\SuB\MaRiNe\YeLLoW.exe','');
 QuarantineFile('M:\autorun.inf','');
 QuarantineFile('C:\Users\Тася\Downloads\Codec.10.1.2.exe','');
 QuarantineFile('C:\Users\Тася\AppData\Roaming\ser.exe','');
 QuarantineFile('C:\Users\Тася\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G9PEFNZY\calc[1].exe','');
 QuarantineFile('C:\Windows\system32\mdyxkxa.dll','');
 QuarantineFile('C:\Users\Тася\AppData\Roaming\derlj.dll','');
 QuarantineFile('C:\Users\Тася\AppData\Roaming\gegtru.dll','');
 QuarantineFile('C:\ProgramData\Media\module.exe','');
 QuarantineFile('C:\Windows\system32\FDE9.tmp','');
 QuarantineFile('C:\Windows\system32\9356.tmp','');
 DeleteFile('C:\Windows\system32\9356.tmp');
 DeleteFile('C:\Windows\system32\FDE9.tmp');
 DeleteFile('C:\ProgramData\Media\module.exe');
 DeleteFile('C:\Users\Тася\AppData\Roaming\gegtru.dll');
 DeleteFile('C:\Users\Тася\AppData\Roaming\derlj.dll');
 DeleteFile('C:\Windows\system32\mdyxkxa.dll');
 DeleteFile('C:\Users\Тася\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G9PEFNZY\calc[1].exe');
 DeleteFile('C:\Users\Тася\AppData\Roaming\ser.exe');
 DeleteFile('C:\Users\Тася\Downloads\Codec.10.1.2.exe');
 DeleteFile('M:\autorun.inf');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\eqwnocx');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\hmroxhkny');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Module');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','123');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - Startup: _uninst_setup_9.0.0.722_22.12.2010_20-27.exe.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
• Сделайте новые логи по правилам

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Filia 10-07-2011 18:58 1710720
Вложений: 2
Обновить IE не удалось пишет вот что http://s14.radikal.ru/i187/1107/36/bda827e79ebc.jpg .
На VirusTotal зайти не удалось, не загружал страницу просто (как мазила, так и IE), но после выполнения скриптов и перезагрузки все работает хорошо и на по c:\SuB\MaRiNe\YeLLoW.exe ничего не найдено.

Спасибо за помощь.)

Вот логи:

zirreX 10-07-2011 21:17 1710785
Лог сканирования MBAM также приложите.

Filia 11-07-2011 01:18 1710877
Вложений: 2
Не успела я докачать Malwarebytes' Anti-Malware, как эта дрянь опять дала о себе знать. Компьютер как и в прошлый раз по собственной воле перезагрузился и опять вместо сайтов отображает текст. Сравнив ситуации, в которых со мной случились эти ужасные события, я пришла к выводу, что это как-то связано с группой в контакте "оптимистичный Медведев".

Вот новые логи:

SolarSpark 11-07-2011 11:21 1711051
Filia, большая просьба: воздержитесь от посещения "злачных" мест на время лечения ровно до того поста, в котором лечащий вас хелпер даст вам последние рекомендации!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\mdyxkxa.dll','');
 QuarantineFile('C:\Windows\system32\27B0.tmp','');
 DeleteFile('C:\Windows\system32\27B0.tmp');
 DeleteFile('C:\Windows\system32\mdyxkxa.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Windows\system32\mdyxkxa.dll');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\mdyxkxa.dll
Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Filia 11-07-2011 17:25 1711350
Вложений: 3
В списке нет этой строчки:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\mdyxkxa.dll
Все сделала.

Вот логи:

zirreX 11-07-2011 21:52 1711501
Ничего вредоносного не вижу. Проблема решена?

Удалите остатки Др.Веб при помощи утилиты Dr.Web Remover

Установите все последние обновления Windows

Обновите Adobe Reader /Adobe Acrobat до последних версий.

Обновите Adobe Flash Player последней версии.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
• Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью [url="http://www.atribune.org/public-beta/ATF-Cleaner.exe"]ATF Cleaner

• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Filia 11-07-2011 23:15 1711548
Да, проблема решена. Спасибо огромное за помощь.)


Время: 13:07.

Время: 13:07.
© OSzone.net 2001-