Показано с 1 по 8 из 8.

вирус, самоназвание - Trojan.Win32.Ddox.ci (заявка № 102759)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2011
    Сообщений
    3
    Вес репутации
    47

    Exclamation вирус, самоназвание - Trojan.Win32.Ddox.ci

    Видел подобные темы, например, эту - http://virusinfo.info/showthread.php?t=102229
    Но фиг его знает, где именно он у меня засел, а т.к. сам AVZ я не юзал никогда и ничего не пойму - пишу за помощью.
    Говорит, что может украсть пароли, на деле ещё и заставляет браузер некорректно отображать сайты, в виде кода или вообще никак.

    (соотв., cureit и пр. его пропускают мимо (и не только его пропускают), хоть и находят другие)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) naram, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{299CFDF0-82C8-4F1B-9B3A-309C8DCC0A2E}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE14459-F511-4A1F-94B2-96B826B83BE1}: NameServer = 195.34.32.116 212.188.4.10
    O17 - HKLM\System\CCS\Services\Tcpip\..\{527183B0-8090-42AC-9767-4D8BD9690B01}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B217ABEF-1A88-4ED6-97CF-8F70D94EA68A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D08521EC-8BBF-428D-A45E-A1CECDEE920B}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{ECFEB6DB-06D9-44E2-A9C5-CC8F78636F55}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS8\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS11\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS12\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS13\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS14\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS15\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS16\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS17\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    O17 - HKLM\System\CS18\Services\Tcpip\..\{0435F9A4-0328-48F4-9497-64248DAB628A}: NameServer = 195.226.220.30,195.226.220.31
    2.Выполните скрипт в AVZ
    Код:
    procedure WhatService(AServiceName : string);
      var
       dllname, servicekey : string;
      begin
       servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
       RegKeyResetSecurity( 'HKLM', servicekey);
       RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
       AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
       AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
       AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
       dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
       AddToLog('ServiceDll: '+dllname);
       QuarantineFile(dllname,'');
      end;
     begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      WhatService('wmwiguhh');
      QuarantineFile('C:\WINDOWS\system32\jvyzenk.dll','');
      QuarantineFile('G:\Temp\dGOd6PSs.sys','');
      DeleteFile('G:\Temp\dGOd6PSs.sys');
      DeleteFile('C:\WINDOWS\system32\jvyzenk.dll');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
      RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
      BC_ImportAll;
      ExecuteSysClean;
      ExecuteWizard('TSW', 2, 2, true);
      ExecuteWizard('SCU', 2, 2, true);
      BC_Activate;
      SaveLog(GetAVZDirectory+'wmwiguhh.log');
      RebootWindows(true);
     end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - файл wmwiguhh.log прикрепите к сообщению

  5. #4
    Junior Member Репутация
    Регистрация
    28.05.2011
    Сообщений
    3
    Вес репутации
    47
    Результат загрузки
    Файл закачан, спасибо!
    Файлы прикреплены.

    Проблема решена, спасибо.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
     var
      i : integer; 
      KeyList : TStringList;
      KeyName : string;                           
     begin
      RegKeyResetSecurity(ARoot, AName);
      KeyList := TStringList.Create;
      RegKeyEnumKey(ARoot, AName, KeyList);
      for i := 0 to KeyList.Count-1 do
       begin
        KeyName := AName+'\'+KeyList[i];
        RegKeyResetSecurity(ARoot, KeyName);
        RegKeyResetSecurityEx(ARoot, KeyName);
       end;
      KeyList.Free;
     end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
     var
      i : integer;
      KeyList : TStringList;
      KeyName : string;                           
     begin
      Result := 0;
      if StopService(AServiceName) then Result := Result or 1;
      if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
      KeyList := TStringList.Create;
      RegKeyEnumKey('HKLM','SYSTEM', KeyList);
      for i := 0 to KeyList.Count-1 do
       if pos('controlset', LowerCase(KeyList[i])) > 0 then
        begin
         KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
         if RegKeyExistsEx('HKLM', KeyName) then
          begin
           Result := Result or 4;                  
           RegKeyResetSecurityEx('HKLM', KeyName);
           RegKeyDel('HKLM', KeyName);
           if RegKeyExistsEx('HKLM', KeyName) then               
           Result := Result or 8;                  
          end;
        end;                 
      if AIsSvcHosted then
        BC_DeleteSvcReg(AServiceName)
       else
        BC_DeleteSvc(AServiceName);
      KeyList.Free;
     end;
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\gitntiep.dll','');
     BC_ServiceKill('wmwiguhh');
     DeleteFile('C:\WINDOWS\system32\gitntiep.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wmwiguhh\Parameters','ServiceDll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  7. #6
    Junior Member Репутация
    Регистрация
    28.05.2011
    Сообщений
    3
    Вес репутации
    47
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    Результат загрузки: Ошибка загрузки. Данный файл уже был загружен
    Скрин ошибки прикреплён. Что с ней сделать? Переименовать файл не помогло.

    Лог virusinfo_syscheck.zip прикреплён.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\jvyzenk.dll - Trojan.Win32.Zapchast.fqc ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6086827, AVAST4: Win32:MalOb-HG [Cryp] )


  • Уважаемый(ая) naram, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус Trojan.Win32.Ddox.ci
      От ValentinVS в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 26.10.2011, 00:47
    2. Вирус Trojan.Win32.Ddox.ci
      От A10327 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.08.2011, 21:36
    3. Вирус Trojan.Win32.Ddox.ci
      От Екатерина1977 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.08.2011, 23:32
    4. Вирус Trojan.Win32.Ddox.ci
      От Varezhka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.06.2011, 19:49
    5. Вирус, самоназвание - Trojan.Win32.Inject.aohy
      От oper4 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.03.2011, 05:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00151 seconds with 19 queries