|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Проблемы с Trojan.Win32.Ddox.ci |
|
|
Проблемы с Trojan.Win32.Ddox.ci
|
Новый участник Сообщения: 15 |
Профиль | Отправить PM | Цитировать
страницы в браузерах (всех) открываются кодами, вирус просит установить новую версию браузера - стоит самая последняя, в соц. сети не зайти
|
|
Отправлено: 15:25, 11-07-2011 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Здравствуйте,
Сейчас посмотрю логи. |
Отправлено: 15:32, 11-07-2011 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать спасибо, жду
мучаюсь уже с этим не первый день!( |
Отправлено: 15:34, 11-07-2011 | #3 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Ваш провайдер - "Ростелеком-Северо-Запад" (north-west telecom)?
1. Скачайте ATF Cleaner на рабочий стол. Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected; - нажмите No, если вы хотите оставить ваши сохраненные пароли; - если вы используете Opera, нажмите Opera - Select All - Empty Selected; - нажмите No, если вы хотите оставить ваши сохраненные пароли. 2. Отключите: Антивирус/Файерволл AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\apppatch\ceymqvs.dat',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys',''); QuarantineFile('C:\Windows\system32\koruilh.dll',''); QuarantineFile('C:\Windows\system32\9EBF.tmp',''); QuarantineFile('C:\Windows\system32\7348.tmp',''); DeleteFile('C:\Windows\system32\9EBF.tmp'); DeleteFile('C:\Windows\system32\7348.tmp'); DeleteFile('C:\Windows\system32\koruilh.dll'); DeleteFile('C:\Windows\apppatch\ceymqvs.dat'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys'); BC_Activate; ExecuteRepair(20); RebootWindows(true); end. После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. 3. Запустите HiJackThis -> Do a system scan only и проверьте наличие в логе этих строк (если есть, пофиксите их в HJT F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\ceymqvs.dat, O20 - AppInit_DLLs: C:\Windows\system32\koruilh.dll Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5. Загрузите SecurityCheck by screen317 отсюда или отсюда Сохраните на Рабочий стол. Запустите от имени администратора Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt; Прикрепите его тоже в ваше следующее сообщение. 6. Повторите логи AVZ+RSIT |
Отправлено: 15:55, 11-07-2011 | #4 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать Да) Верно!
1. Сделано 2. Из лаборатории ещё не ответили 3. Таких строк не обнаружено 4. mbam прикрепила 5. checkup.txt тоже) 6. в комплекте) но info.txt не обновилось почему то - так надо? жду указаний) |
|
Отправлено: 20:31, 11-07-2011 | #5 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Здравствуйте,
1. Что с проблемами? 2. Запустите еще раз полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эту строку: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. 3. Что в папках C:\Users\User\AppData\Roaming\7f5b9780 и C:\Users\User\AppData\Roaming\80b567e8a? |
Отправлено: 23:17, 11-07-2011 | #6 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать Доброе утро, Farger)
1. Вроде бы всё нормализовалось! спасибо большое) 2. 6 инфицированных объектов 3.Папки не нашла - может они скрытые через поиск нашла - первая папки пуста, а во второй находится файл pass.log, где прописан мой пароль на сайт жёлтых страниц, то есть ничего страшного 4. В пятницу я нашла у себя 7 троянов после чего скачала фильм с рутрекера - и уже в понедельник нашла 18 троянов, не считая всего что обнаружила с вашей помощью МВАМ постоянно говорит что рутрекер - вредоносный сайт, но я часто им пользуюсь , а мой родной AVG молчит по поводу вирусов, что делать? 5. У меня работают одновременно AVG и МВАМ - так вообще можно? |
Последний раз редактировалось nusia555555, 12-07-2011 в 11:38. Отправлено: 11:32, 12-07-2011 | #7 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать Цитата nusia555555:
rutracker - нормальный сайт, иногда мой веб ругается на постеры/скрины, заливаемые аплоадерами на сомнительные хостинги... но от этого количество зловредов не прибавляется по окончании лечения Даниил вам даст рекомендации по зачистке временных файлов, зараженных контрольных точек и настройке браузеров, чтобы не хватали эксплоиты |
|
------- Отправлено: 13:03, 12-07-2011 | #8 |
Старожил Сообщения: 261
|
Профиль | Отправить PM | Цитировать Здравствуйте,
1) Мы еще не закончили. 2) Это во время последней полной проверки MBAM? Лог приложите, посмотрим. 3) Ок. 4) Сейчас ситуация получше... 5) Да. |
Отправлено: 13:15, 12-07-2011 | #9 |
Новый участник Сообщения: 15
|
Профиль | Отправить PM | Цитировать 1. Хорошо)
2. Да, во время полной проверки, лог загрузила |
Отправлено: 13:31, 12-07-2011 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Проблемы с Trojan.Win32.Ddox.ci | Filia | Лечение систем от вредоносных программ | 9 | 11-07-2011 23:15 | |
[решено] Вирус Trojan.Win32.Ddox.ci | cir1us | Лечение систем от вредоносных программ | 13 | 10-07-2011 19:53 | |
Помогите избавиться от вируса Trojan.Win32.Ddox.ci | clibster | Лечение систем от вредоносных программ | 11 | 09-07-2011 15:38 | |
[решено] Вирус Trojan.Win32.Ddox.ci | Garrick | Лечение систем от вредоносных программ | 6 | 01-07-2011 13:57 | |
[решено] обнаружены вирусы Trojan.Win32.Patched.fr и Trojan.Win32.ВНО.isy | levss_09 | Лечение систем от вредоносных программ | 6 | 25-11-2009 23:00 |
|