Решена Trojan.Win32.Ddox.ci

Тема в разделе "Лечение компьютерных вирусов", создана пользователем sceptic, 7 июл 2011.

Статус темы:
Закрыта.
  1. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Выскакивает баннер в Мозиле :"В системе обнаружен вирус. Использование интернета нежелательно."
    Так же пишет:"Браузер зафиксировал попытки внесения изменений в его работу.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
    рекомендуем немедленно установить последнее обновление безопасности браузера.
    Trojan.Win32.Ddox.ci
    – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
    Для безопасного продолжения работы необходимо обновить браузер
    KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
    KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      73,5 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      73,2 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      25,8 КБ
      Просмотров:
      8
    • info.txt
      Размер файла:
      11,3 КБ
      Просмотров:
      3
  2. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    это не ваша тема случайно?
     
  3. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    нет. но случай тот же, как я понял, когда искал решение проблемы
     
    Последнее редактирование: 7 июл 2011
  4. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    1. В целях безопасности скачайте и установите Internet Explorer 8

    2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\orxrcve.dll','');
     QuarantineFile('C:\WINDOWS\system32\60.tmp','');
     QuarantineFile('C:\WINDOWS\system32\5F.tmp','');
     DeleteFile('C:\WINDOWS\system32\orxrcve.dll');
     DeleteFile('C:\WINDOWS\system32\60.tmp');
     DeleteFile('C:\WINDOWS\system32\5F.tmp');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

    3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

    4.Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip);
    Запустите файл TDSSKiller.exe;
    Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

    4.Если это не ваша стартовая страница - в логе сканирования Hijackthis отметьте:
    нажмите "Fix checked"

    "стриптиз на рабочем столе" - ваше?
    XTrap - юзаете?

    повторите логи avz и rsit, выложите лог combofix
     
    1 человеку нравится это.
  5. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    это где надо нажать?

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
    нет, не моя стартовая страница

    "стриптиз на рабочем столе" это что вообще? :) не знаю, не видел такого у себя на компе.

    XTrap юзал, игра одна требовала.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Как "пофиксить" с помощью HijackThis


    Программа такая.

    Ждем запрошенные логи.
     
  7. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Комп дико виснет при включении IE. Процесс RubarBroker.exe, мне кажется это он всё вешает. Ну вам профи виднее. Это сообщение еле отправил.

    Комбофикс врубал до всех остальных советуемых вами программ. Если нужно включу повторно.
     

    Вложения:

  8. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    1. скачайте и установите все последние обновления для безопасности windows

    2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\E28.tmp','');
     DeleteFile('C:\WINDOWS\system32\E28.tmp');
     DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

    3. удалите с компьютера TDSSKiller, повторите логи avz и rsit, сделайте лог combofix.

    если мешает - удалите mediabar Toolbar через установку и удаление программ.
     
  9. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Не все обновления для Windows удалось установить, т.к. винда не лицензия.

    Временами скорость падает настолько, что аська с трудом пашет.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      59,4 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      58,9 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      31,5 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      11,3 КБ
      Просмотров:
      0
    • ComboFix.txt
      Размер файла:
      115 КБ
      Просмотров:
      6
    Последнее редактирование: 9 июл 2011
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::
    File::
    c:\documents and settings\LocalService\Application Data\Rub5.tmp
    c:\documents and settings\LocalService\Application Data\Rub1.tmp
    c:\documents and settings\LocalService\Application Data\Rub49.tmp
    c:\documents and settings\LocalService\Application Data\Rub48.tmp
    c:\documents and settings\LocalService\Application Data\Rub47.tmp
    c:\documents and settings\LocalService\Application Data\Rub46.tmp
    c:\documents and settings\LocalService\Application Data\Rub45.tmp
    c:\documents and settings\LocalService\Application Data\Rub44.tmp
    c:\documents and settings\LocalService\Application Data\Rub43.tmp
    c:\documents and settings\LocalService\Application Data\Rub42.tmp
    c:\documents and settings\LocalService\Application Data\Rub41.tmp
    c:\documents and settings\LocalService\Application Data\Rub40.tmp
    c:\documents and settings\LocalService\Application Data\Rub3F.tmp
    c:\documents and settings\LocalService\Application Data\Rub3E.tmp
    c:\documents and settings\LocalService\Application Data\Rub3D.tmp
    c:\documents and settings\LocalService\Application Data\Rub3C.tmp
    c:\documents and settings\LocalService\Application Data\Rub3B.tmp
    c:\documents and settings\LocalService\Application Data\Rub3A.tmp
    c:\documents and settings\LocalService\Application Data\Rub39.tmp
    c:\documents and settings\LocalService\Application Data\Rub38.tmp
    c:\documents and settings\LocalService\Application Data\Rub37.tmp
    c:\documents and settings\LocalService\Application Data\Rub36.tmp
    c:\documents and settings\LocalService\Application Data\Rub35.tmp
    c:\documents and settings\LocalService\Application Data\Rub34.tmp
    c:\documents and settings\LocalService\Application Data\Rub33.tmp
    c:\documents and settings\LocalService\Application Data\Rub32.tmp
    c:\documents and settings\LocalService\Application Data\Rub31.tmp
    c:\documents and settings\LocalService\Application Data\Rub30.tmp
    c:\documents and settings\LocalService\Application Data\Rub2F.tmp
    c:\documents and settings\LocalService\Application Data\Rub2E.tmp
    c:\documents and settings\LocalService\Application Data\Rub2D.tmp
    c:\documents and settings\LocalService\Application Data\Rub2C.tmp
    c:\documents and settings\LocalService\Application Data\Rub2B.tmp
    c:\documents and settings\LocalService\Application Data\Rub2A.tmp
    c:\documents and settings\LocalService\Application Data\Rub29.tmp
    c:\documents and settings\LocalService\Application Data\Rub28.tmp
    c:\documents and settings\LocalService\Application Data\Rub26.tmp
    c:\documents and settings\LocalService\Application Data\Rub25.tmp
    c:\documents and settings\LocalService\Application Data\Rub24.tmp
    c:\documents and settings\LocalService\Application Data\Rub23.tmp
    c:\documents and settings\LocalService\Application Data\Rub22.tmp
    c:\documents and settings\LocalService\Application Data\Rub21.tmp
    c:\documents and settings\LocalService\Application Data\Rub20.tmp
    c:\documents and settings\LocalService\Application Data\Rub1F.tmp
    c:\documents and settings\LocalService\Application Data\Rub1E.tmp
    c:\documents and settings\LocalService\Application Data\Rub1D.tmp
    c:\documents and settings\LocalService\Application Data\Rub1C.tmp
    c:\documents and settings\LocalService\Application Data\Rub1B.tmp
    c:\documents and settings\LocalService\Application Data\Rub1A.tmp
    c:\documents and settings\LocalService\Application Data\Rub19.tmp
    c:\documents and settings\LocalService\Application Data\Rub18.tmp
    c:\documents and settings\LocalService\Application Data\Rub27.tmp
    c:\documents and settings\LocalService\Application Data\Rub17.tmp
    c:\documents and settings\LocalService\Application Data\Rub16.tmp
    c:\documents and settings\LocalService\Application Data\Rub15.tmp
    c:\documents and settings\LocalService\Application Data\Rub14.tmp
    c:\documents and settings\LocalService\Application Data\Rub13.tmp
    c:\documents and settings\LocalService\Application Data\Rub12.tmp
    c:\documents and settings\LocalService\Application Data\Rub11.tmp
    c:\documents and settings\LocalService\Application Data\Rub10.tmp
    c:\documents and settings\LocalService\Application Data\RubF.tmp
    c:\documents and settings\LocalService\Application Data\RubE.tmp
    c:\documents and settings\LocalService\Application Data\RubD.tmp
    c:\documents and settings\LocalService\Application Data\RubC.tmp
    c:\documents and settings\LocalService\Application Data\RubB.tmp
    c:\documents and settings\LocalService\Application Data\RubA.tmp
    c:\documents and settings\LocalService\Application Data\Rub9.tmp
    c:\documents and settings\LocalService\Application Data\Rub8.tmp
    c:\documents and settings\LocalService\Application Data\Rub7.tmp
    FileLook::
    c:\windows\system32\drivers\mup.sys
    FCopy::
    c:\windows\ServicePackFiles\i386\wscntfy.exe|c:\windows\System32\wscntfy.exe
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Windows сборка от зверя?
     
  11. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Что за сборка винды не знаю. Помню что на диске были и дрова и антивирус.
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      27,1 КБ
      Просмотров:
      2
  12. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Теперь что с проблемой?

    Toolbar с RubarBroker`ом снесли? Установочный диск с windows есть?
     
  13. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Насчёт Toolbar не знаю, RubarBroker точно сносил. Диска нет. А что за проблема?
     
  14. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    у вас вроде была)). Проблема, с которой вы обратились сюда решена?

    Файл из вложения сохраните в %windir%\system32 и в %windir%\system32\dllcache. Замените расширение с .rar на exe, распаковывать не нужно.
     

    Вложения:

    • wscntfy.rar
      Размер файла:
      13,5 КБ
      Просмотров:
      0
    Последнее редактирование: 11 июл 2011
  15. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    тыкаю на файл вот что мне пишет форум
    "sceptic, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами"

    а что с проблемой.. ну пока никак себя не проявляет
     
  16. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    скачайте отсюда

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
    ___________________________________________________________
    Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
    Нажмите enter. Для подтверждения перезаписи нажмите Y.


    Если больше никаких проблем не возникает, то:

    Создайте новую контрольную точку восстановления и очистите заражённую:

    1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

    2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

    скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

    если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

    если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows и обновлять антивирусные базы.
    - регулярно проверять систему антивирусными утилитами CureIT и AVPTool
     
    1 человеку нравится это.
  17. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    ПРИОГРОМНОЕ СПАСИБО!

    P.S. Мне только вот очень интересно по какой причине Вы помогаете людям? Из чистого альтруизма? Скажите если не секрет.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Хобби у нас такое :)
     
    1 человеку нравится это.
  19. sceptic
    Оффлайн

    sceptic Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Кажется я ошибся насчёт чистоты компа. Домашняя страница автоматом меняется на порносайт и аваст поймал вирус. :sorry:
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    sceptic, с кривой сборкой это будет продолжаться до бесконечности.

    Для лечения создайте новую тему. (новая проблема - новая тема).
     
Статус темы:
Закрыта.

Поделиться этой страницей