Решена Trojan.Win32.Ddox.ci

Статус
В этой теме нельзя размещать новые ответы.

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#1
Выскакивает баннер в Мозиле :"В системе обнаружен вирус. Использование интернета нежелательно."
Так же пишет:"Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"
 

Вложения

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#3
нет. но случай тот же, как я понял, когда искал решение проблемы
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#4
1. В целях безопасности скачайте и установите Internet Explorer 8

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\orxrcve.dll','');
 QuarantineFile('C:\WINDOWS\system32\60.tmp','');
 QuarantineFile('C:\WINDOWS\system32\5F.tmp','');
 DeleteFile('C:\WINDOWS\system32\orxrcve.dll');
 DeleteFile('C:\WINDOWS\system32\60.tmp');
 DeleteFile('C:\WINDOWS\system32\5F.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip);
Запустите файл TDSSKiller.exe;
Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

4.Если это не ваша стартовая страница - в логе сканирования Hijackthis отметьте:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
нажмите "Fix checked"

"стриптиз на рабочем столе" - ваше?
XTrap - юзаете?

повторите логи avz и rsit, выложите лог combofix
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#5
это где надо нажать?

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
нет, не моя стартовая страница

"стриптиз на рабочем столе" это что вообще? :) не знаю, не видел такого у себя на компе.

XTrap юзал, игра одна требовала.
 

akok

Команда форума
Администратор
Сообщения
15,453
Симпатии
12,573
Баллы
2,203
#6

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#7
Комп дико виснет при включении IE. Процесс RubarBroker.exe, мне кажется это он всё вешает. Ну вам профи виднее. Это сообщение еле отправил.

Комбофикс врубал до всех остальных советуемых вами программ. Если нужно включу повторно.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#8
1. скачайте и установите все последние обновления для безопасности windows

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\E28.tmp','');
 DeleteFile('C:\WINDOWS\system32\E28.tmp');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. удалите с компьютера TDSSKiller, повторите логи avz и rsit, сделайте лог combofix.

Процесс RubarBroker.exe, мне кажется это он всё вешает
если мешает - удалите mediabar Toolbar через установку и удаление программ.
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#9
Не все обновления для Windows удалось установить, т.к. винда не лицензия.

Временами скорость падает настолько, что аська с трудом пашет.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,453
Симпатии
12,573
Баллы
2,203
#10
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\LocalService\Application Data\Rub5.tmp
c:\documents and settings\LocalService\Application Data\Rub1.tmp
c:\documents and settings\LocalService\Application Data\Rub49.tmp
c:\documents and settings\LocalService\Application Data\Rub48.tmp
c:\documents and settings\LocalService\Application Data\Rub47.tmp
c:\documents and settings\LocalService\Application Data\Rub46.tmp
c:\documents and settings\LocalService\Application Data\Rub45.tmp
c:\documents and settings\LocalService\Application Data\Rub44.tmp
c:\documents and settings\LocalService\Application Data\Rub43.tmp
c:\documents and settings\LocalService\Application Data\Rub42.tmp
c:\documents and settings\LocalService\Application Data\Rub41.tmp
c:\documents and settings\LocalService\Application Data\Rub40.tmp
c:\documents and settings\LocalService\Application Data\Rub3F.tmp
c:\documents and settings\LocalService\Application Data\Rub3E.tmp
c:\documents and settings\LocalService\Application Data\Rub3D.tmp
c:\documents and settings\LocalService\Application Data\Rub3C.tmp
c:\documents and settings\LocalService\Application Data\Rub3B.tmp
c:\documents and settings\LocalService\Application Data\Rub3A.tmp
c:\documents and settings\LocalService\Application Data\Rub39.tmp
c:\documents and settings\LocalService\Application Data\Rub38.tmp
c:\documents and settings\LocalService\Application Data\Rub37.tmp
c:\documents and settings\LocalService\Application Data\Rub36.tmp
c:\documents and settings\LocalService\Application Data\Rub35.tmp
c:\documents and settings\LocalService\Application Data\Rub34.tmp
c:\documents and settings\LocalService\Application Data\Rub33.tmp
c:\documents and settings\LocalService\Application Data\Rub32.tmp
c:\documents and settings\LocalService\Application Data\Rub31.tmp
c:\documents and settings\LocalService\Application Data\Rub30.tmp
c:\documents and settings\LocalService\Application Data\Rub2F.tmp
c:\documents and settings\LocalService\Application Data\Rub2E.tmp
c:\documents and settings\LocalService\Application Data\Rub2D.tmp
c:\documents and settings\LocalService\Application Data\Rub2C.tmp
c:\documents and settings\LocalService\Application Data\Rub2B.tmp
c:\documents and settings\LocalService\Application Data\Rub2A.tmp
c:\documents and settings\LocalService\Application Data\Rub29.tmp
c:\documents and settings\LocalService\Application Data\Rub28.tmp
c:\documents and settings\LocalService\Application Data\Rub26.tmp
c:\documents and settings\LocalService\Application Data\Rub25.tmp
c:\documents and settings\LocalService\Application Data\Rub24.tmp
c:\documents and settings\LocalService\Application Data\Rub23.tmp
c:\documents and settings\LocalService\Application Data\Rub22.tmp
c:\documents and settings\LocalService\Application Data\Rub21.tmp
c:\documents and settings\LocalService\Application Data\Rub20.tmp
c:\documents and settings\LocalService\Application Data\Rub1F.tmp
c:\documents and settings\LocalService\Application Data\Rub1E.tmp
c:\documents and settings\LocalService\Application Data\Rub1D.tmp
c:\documents and settings\LocalService\Application Data\Rub1C.tmp
c:\documents and settings\LocalService\Application Data\Rub1B.tmp
c:\documents and settings\LocalService\Application Data\Rub1A.tmp
c:\documents and settings\LocalService\Application Data\Rub19.tmp
c:\documents and settings\LocalService\Application Data\Rub18.tmp
c:\documents and settings\LocalService\Application Data\Rub27.tmp
c:\documents and settings\LocalService\Application Data\Rub17.tmp
c:\documents and settings\LocalService\Application Data\Rub16.tmp
c:\documents and settings\LocalService\Application Data\Rub15.tmp
c:\documents and settings\LocalService\Application Data\Rub14.tmp
c:\documents and settings\LocalService\Application Data\Rub13.tmp
c:\documents and settings\LocalService\Application Data\Rub12.tmp
c:\documents and settings\LocalService\Application Data\Rub11.tmp
c:\documents and settings\LocalService\Application Data\Rub10.tmp
c:\documents and settings\LocalService\Application Data\RubF.tmp
c:\documents and settings\LocalService\Application Data\RubE.tmp
c:\documents and settings\LocalService\Application Data\RubD.tmp
c:\documents and settings\LocalService\Application Data\RubC.tmp
c:\documents and settings\LocalService\Application Data\RubB.tmp
c:\documents and settings\LocalService\Application Data\RubA.tmp
c:\documents and settings\LocalService\Application Data\Rub9.tmp
c:\documents and settings\LocalService\Application Data\Rub8.tmp
c:\documents and settings\LocalService\Application Data\Rub7.tmp
FileLook::
c:\windows\system32\drivers\mup.sys
FCopy:: 
c:\windows\ServicePackFiles\i386\wscntfy.exe|c:\windows\System32\wscntfy.exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fvirusnet.info%2Fimages%2Fcfscript.gif&hash=e9a8921a108bad9d1d7f13e09b840f76

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Windows сборка от зверя?
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#11
Что за сборка винды не знаю. Помню что на диске были и дрова и антивирус.
 

Вложения

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#12
Теперь что с проблемой?

Toolbar с RubarBroker`ом снесли? Установочный диск с windows есть?
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#13
Насчёт Toolbar не знаю, RubarBroker точно сносил. Диска нет. А что за проблема?
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#14
у вас вроде была)). Проблема, с которой вы обратились сюда решена?

Файл из вложения сохраните в %windir%\system32 и в %windir%\system32\dllcache. Замените расширение с .rar на exe, распаковывать не нужно.
 

Вложения

Последнее редактирование:

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#15
тыкаю на файл вот что мне пишет форум
"sceptic, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами"

а что с проблемой.. ну пока никак себя не проявляет
 

Сашка

Ветеран
Сообщения
4,610
Симпатии
2,348
Баллы
683
#16
скачайте отсюда

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcombofix-uninstall.jpg&hash=81a24c0e6f43436414e4ec21134aee34


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
___________________________________________________________
Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите enter. Для подтверждения перезаписи нажмите Y.


Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#17
ПРИОГРОМНОЕ СПАСИБО!

P.S. Мне только вот очень интересно по какой причине Вы помогаете людям? Из чистого альтруизма? Скажите если не секрет.
 

sceptic

Активный пользователь
Сообщения
10
Симпатии
0
Баллы
301
#19
Кажется я ошибся насчёт чистоты компа. Домашняя страница автоматом меняется на порносайт и аваст поймал вирус. :sorry:
 
/div>

akok

Команда форума
Администратор
Сообщения
15,453
Симпатии
12,573
Баллы
2,203
#20
sceptic, с кривой сборкой это будет продолжаться до бесконечности.

Для лечения создайте новую тему. (новая проблема - новая тема).
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу