Junior Member
Вес репутации
47
Trojan.Win32.Ddox.ci
При работе в различных браузерах стала появляться табличка об обнаруженном Trojan.Win32.Ddox.ci, требующая загрузить обновления браузера за деньги. Также из-за вируса страницы в интеренет-обозревателях либо не открываются вообще, либо открываются слишком медленно и с большим колличеством ошибок. Тормозится вся работа ПК. В социальной сети "Вкотакте" постоянно просят ввести пароль, но перед этим подтвердить свой телефонный номер, отправив платную смс на предоставляемый номер.
Вложения
Последний раз редактировалось thyrex; 14.06.2011 в 13:03 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Мария29 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteService('Wyeke Service');
DeleteService('Netdix0st');
QuarantineFile('C:\WINDOWS\system32\vqsfvhn.dll','');
DeleteFile('C:\WINDOWS\system32\vqsfvhn.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke129.exe');
DeleteFile('Netdix0st.sys');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
47
Перестала появляться табличка, веб-страницы открываются.
Последний раз редактировалось Bratez; 18.06.2011 в 07:40 .
Причина: убрал лишнее вложение
Удалите в MBAM все найденное, кроме этого :
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
c:\program files\prince of persia - the two thrones\pop3.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
Пофиксите в HijackThis:
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)
O4 - Startup: _uninst_setup_9.0.0.722_10.05.2010_13-30.exe.lnk = C:\Documents and Settings\MeRlynSkina\Local Settings\Temp\_uninst_setup_9.0.0.722_10.05.2010_13-30.exe.bat
O18 - Filter: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)
В остальном порядок.
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\vqsfvhn.dll - Trojan.Win32.Zapchast.gkp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6156730, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )