Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Trojan.Win32.Ddox.ci (http://forum.oszone.net/showthread.php?t=213706)

Patrik1603 20-08-2011 16:16 1735843
Trojan.Win32.Ddox.ci
 
Вложений: 1
сегодня подцепил эту гадость,вылетает банер в системе обнаружен вирус и т.д. и не пускает в контакт и одноклассники.

Patrik1603 20-08-2011 16:26 1735848
помогите убить его, замучал он меня уже. :sorry:

SolarSpark 20-08-2011 17:32 1735891
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\ovhpiga.dll','');
 QuarantineFile('C:\Users\Артем\Application Data\msmedia.dll','');
 QuarantineFile('G:\autorun.inf','');
 DeleteFile('C:\Windows\system32\ovhpiga.dll');
 DeleteFile('C:\Users\Артем\Application Data\msmedia.dll');
 DeleteFile('G:\autorun.inf');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

alex_sev 20-08-2011 21:21 1736019
В карантине - Trojan.Mayachok.based

Patrik1603 20-08-2011 21:32 1736025
Вложений: 2
вот новые логи

Patrik1603 20-08-2011 21:34 1736028
я его нашел утилитой dr. Web'а, было написано что вылечено.

alex_sev 20-08-2011 22:06 1736045
Удалите все найденное MBAM

Сейсас еще составлю скрипт

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\usb.vbs','');
 QuarantineFile('C:\Windows\system32\ovhpiga.dll','');
 QuarantineFile('c:\windows\system32\seclogon.exe','');
 QuarantineFile('c:\windows\system32\certprop.exe','');
 DeleteFile('C:\Windows\system32\ovhpiga.dll');
 DelBHO('{1a894269-562d-459e-b17e-efd8de428e41}');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\system32\ovhpiga.dll');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O20 - AppInit_DLLs: C:\Windows\system32\ovhpiga.dll
Повторите логи AVZ и RSIT

Так же сделайте лог uVS

Patrik1603 20-08-2011 23:15 1736091
Цитата:
Цитата alex_sev
Так же сделайте лог uVS »
у меня почему-то после нажатия "Сохранить полный образ автозапуска" через некоторое время комп перезагружается,а лог сохраняется пустым. :(

alex_sev 20-08-2011 23:19 1736094
Ладно пойдем зарубежными методами:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Patrik1603 21-08-2011 01:17 1736167
Вложений: 1
лог комбофикс

SolarSpark 21-08-2011 08:51 1736240
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\D8D1.tmp
c:\windows\system32\E964.tmp
c:\windows\system32\71A6.tmp
Driver::

Folder::

Registry::

FileLook::
c:\windows\system32\seclogon.exe
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Patrik1603 21-08-2011 11:53 1736290
Вложений: 1
вот новый

alex_sev 21-08-2011 12:20 1736301
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\program files\balabolka.exe
c:\program files\usb.vbs
c:\windows\system32\certprop.exe
c:\windows\system32\seclogon.exe
c:\windows\system32\71A6.tmp
c:\windows\system32\D8D1.tmp
c:\windows\system32\E964.tmp

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"usb"=-

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Patrik1603 21-08-2011 13:20 1736331
Вложений: 1
сделал.

alex_sev 21-08-2011 13:24 1736334
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Скачайте архив TDSSKiller.zip http://www.kaspersky.ru/support/down...tdsskiller.zip и распакуйте его в отдельную папку, используя программу-архиватор (например, WinZip);

Запустите файл TDSSKiller.exe;

Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется. Лог после сканирования выложите.

Затем заново выполните правила по логам AVZ и RSIT

Patrik1603 21-08-2011 13:34 1736340
пишет не удается удалить,проверьте правильно ли указано имя и повторите.

SolarSpark 21-08-2011 13:39 1736344
переустановите потом удалите

Patrik1603 21-08-2011 14:41 1736374
Вложений: 1
новые логи.

Patrik1603 21-08-2011 14:43 1736376
Вложений: 1
забыл.

alex_sev 21-08-2011 16:18 1736423
Вот эти файлы Вам знакомы?

c:\program files\usb.vbs
c:\windows\system32\certprop.exe
c:\windows\system32\seclogon.exe

Patrik1603 21-08-2011 16:36 1736432
если честно нет.

Patrik1603 21-08-2011 17:11 1736443
нов принципе баннер не вылазил со вчерашнего вечера и в сети пускает.


Время: 19:53.

Время: 19:53.
© OSzone.net 2001-