[решено] Помогите удалить Trojan.Win32.Ddox.ci - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Помогите удалить Trojan.Win32.Ddox.ci (http://forum.oszone.net/showthread.php?t=211711)

Помогите удалить Trojan.Win32.Ddox.ci

Приветствую поймал вируc и теперь не могу почти ни куда войти прошу помогите пожайлуста буду вам премного благодарен...

http://www.fayloobmennik.net/818180
virusinfo_syscure.zip

http://www.fayloobmennik.net/818190
virusinfo_syscheck.zip

http://www.fayloobmennik.net/818194
hijackthis.log

Здравствуйте,

Я сейчас проверю логи.

MegaFon – ваш провайдер?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\Windows\system32\explorer.exe','');

QuarantineFile('C:\Windows\system32\uagjuch.dll','');

DeleteFile('C:\Windows\system32\explorer.exe');

 DeleteFile('C:\Windows\system32\uagjuch.dll');

RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксите в HJT следующие строки:

Код:

         

R3 - URLSearchHook: (no name) - - (no file)

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

7. Обновите базу AVZ и повторите логи AVZ+RSIT

Сделал всё как написано вот результаты:

http://www.fayloobmennik.net/818537
RSIT

http://www.fayloobmennik.net/818539
checkup.txt

http://www.fayloobmennik.net/818540
mbam-log-2011-07-22 (21-02-16)

Цитата:

Цитата Farger

7. Обновите базу AVZ и повторите логи AVZ+RSIT »

Это что просто ущё раз проверить

koctorez, еще раз выполните стандартные скрипты 2,3 в AVZ, логи прикрепите к сообщению

koctorez, не забудьте перед выполнением повторных логов AVZ, обновить само AVZ!

http://www.fayloobmennik.net/818815
virusinfo_syscheck.zip

http://www.fayloobmennik.net/818816
virusinfo_syscure.zip

Вроде больше баннер не вылазит и в соц сети заходит огромное вам спасибо...

Мы еще не закончили лечение. Скоро составлю дальнейшие рекомендации.

MegaFon – ваш провайдер?

C:\Windows\F9835182794B4F24902AE2CA9D43380F.TMP - что в папке? Использовали ли вы ранее антивирус McAfee или утилиту Wise Installer?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\Windows\SysWOW64\E64.tmp','');

QuarantineFile('C:\Windows\SysWOW64\2233.tmp','');

DeleteFile('C:\Windows\SysWOW64\E64.tmp');

 DeleteFile('C:\Windows\SysWOW64\2233.tmp');

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Код:

begin   

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  

end.

В результате выполнения скрипта будет сформирован карантин

Запустите еще раз полное сканирование MBAM и удалите эти строки (в конце сканирования отметьте их и нажмите «Удалить»)

Код:

Заражённые ключи в реестре:

HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.



Заражённые файлы:

c:\Users\Лёха\AppData\Local\Google\Chrome\user data\Default\Cache\f_006e51 (Trojan.Agent) -> No action taken.

c:\Users\Лёха\AppData\Local\Mozilla\Firefox\Profiles\00gq7o1z.default\Cache\2\D8\D8501d01 (Trojan.Agent) -> No action taken.

Сделайте еще раз 2-й стандартный скрипт, лог virusinfo_syscheck.zip приложите к посту, а также сделайте новый лог RSIT.

Обновите Adobe Reader

Мой провайдер ТТК ЗАО "Урал-ТрансТелеКом"

C:\Windows\F9835182794B4F24902AE2CA9D43380F.TMP вот что в этой папке WiseCustomCalla.dll

Обновил Adobe Reader

http://www.fayloobmennik.net/819489
лог RSIT

http://www.fayloobmennik.net/819490
virusinfo_syscheck.zip

http://www.fayloobmennik.net/819491
MBAM

антивирус McAfee точно не использовал а утилиту Wise Installer чё то не помню

Здравствуйте,

В логах чисто. Что с проблемой?

Если все хорошо, тогда:

- деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

- крайне желательно отключить автозапуск программ с различных носителей во избежания новых потенциальных заражений. Для этого выполните следующее:
Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

- создайте новую точку восстановления и очистите предыдущие. Для этого следуйте этой инструкции.

- запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

А также:
- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

С проблемой вроде всё решено вот только не могу деинсталлировать ComboFix пишет что не может найти, скачал OTCleanIt, автозапуск отключил, установил SpywareBlaster

Огромное Вам спасибо

Здравствуйте,

Удалили уже ComboFix? Если не удаеться, запустите OTCleanIt и нажмите Clean up