Проблемы с Trojan.Win32.Ddox.ci
 

страницы в браузерах (всех) открываются кодами, вирус просит установить новую версию браузера - стоит самая последняя, в соц. сети не зайти

Здравствуйте,

Сейчас посмотрю логи.

спасибо, жду
мучаюсь уже с этим не первый день!(

Ваш провайдер - "Ростелеком-Северо-Запад" (north-west telecom)?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Запустите HiJackThis -> Do a system scan only и проверьте наличие в логе этих строк (если есть, пофиксите их в HJT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

Да) Верно!

1. Сделано
2. Из лаборатории ещё не ответили
3. Таких строк не обнаружено
4. mbam прикрепила
5. checkup.txt тоже)
6. в комплекте) но info.txt не обновилось почему то - так надо?

жду указаний)

Здравствуйте,

1. Что с проблемами?

2. Запустите еще раз полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эту строку:

нажмите "Remove selected"

3. Что в папках C:\Users\User\AppData\Roaming\7f5b9780 и C:\Users\User\AppData\Roaming\80b567e8a?

Доброе утро, Farger)

1. Вроде бы всё нормализовалось! спасибо большое)

2. 6 инфицированных объектов

3.Папки не нашла - может они скрытые
через поиск нашла - первая папки пуста, а во второй находится файл pass.log, где прописан мой пароль на сайт жёлтых страниц, то есть ничего страшного

4. В пятницу я нашла у себя 7 троянов
после чего скачала фильм с рутрекера - и уже в понедельник нашла 18 троянов, не считая всего что обнаружила с вашей помощью

МВАМ постоянно говорит что рутрекер - вредоносный сайт, но я часто им пользуюсь , а мой родной AVG молчит по поводу вирусов, что делать?

5. У меня работают одновременно AVG и МВАМ - так вообще можно?

мвам вообще много чего говорит, поэтому пользуйтесь утилью только под руководством хелпера
rutracker - нормальный сайт, иногда мой веб ругается на постеры/скрины, заливаемые аплоадерами на сомнительные хостинги... но от этого количество зловредов не прибавляется
по окончании лечения Даниил вам даст рекомендации по зачистке временных файлов, зараженных контрольных точек и настройке браузеров, чтобы не хватали эксплоиты

Здравствуйте,

1) Мы еще не закончили.

2) Это во время последней полной проверки MBAM? Лог приложите, посмотрим.

3) Ок.

4) Сейчас ситуация получше...

5) Да.

1. Хорошо)
2. Да, во время полной проверки, лог загрузила

В логе тоже самое кроме одного, плюс вы не выполнили мою предыдущую рекомендацию.

Пуск -> Выполнить, наберите regedit, нажмите Enter. Перейдите в HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> LanmanServer -> Parameters, справа в списке найдите имя ServiceDll и скажите мне его значение.

я всё делала..странно

там стоит значение
%CommmonProgramFiles%/msdao23.tlc
только слэш др сторону)если это важно

уехала до пн!

Здравствуйте,

Запустите полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эти строки:

нажмите "Remove selected" ("Удалить выбранное")

удалила ещё в четверг, правда там строки одной не было

Здравствуйте,

Что с проблемами?

Здравствуйте)
больше не появляется сообщение о вирусе, правда из того же контакта иногда выбрасывает - может глюк самого сайта, не знаю)

Здравствуйте,

Пожалуйста, сделайте новые логи AVZ и новый лог RSIT.

Выбрасывает с vkontakte в любом браузере? Только с vkontakte выбрасывает?

Доброе утро)
Прикрепила, я в основном вконтакте -так что только там замечаю

Здравствуйте,

В логах чисто. Возможно причина из-за VKSaver, попробуйте временно удалить его, а также запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
После этого:
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

Дело сделано) вроде всё в норме пока)

Это хорошо. Следите за ситуацией.

Крайне желательно отключить автозапуск программ с различных носителей во избежания новых потенциальных заражений. Для этого выполните следующее:
Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

Создайте новую точку восстановления и очистите предыдущие. Для этого следуйте этой инструкции.

Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

А также:
- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

Обновите Java
Обновите AVG

всё сделала)
а как работать без прав админа?
Internet Explorer не использую )
AVG сам обновляется всегда
SpywareBlaster - там только Mozilla Firefox и Internet Explorer , как мне туда ещё и оперу добавить?
про Java не поняла - обновлять когда такое окно появится как там приведено?

Здравствуйте,

Также посмотрите здесь

Базы обновляет, но сама версия продукта старая. У вас 9-я, а актуальная - 10-я.

Никак, SB ее не поддерживает, так как Opera не поддерживает Active-X.

Да. Еще проверьте включена ли функция автоматического обновления Java (по инструкции пункт №3).

ок, уже почти всё сделала)

больше ничего делать не нужно?)

Здравствуйте,

Нет :)

Спасибо вам))) теперь нет глюков, всё отлично)))))

Пожалуйста. Я рад, что вам помог :)