Trojan.Win32.Ddox.ci

**Mr. Orange** · 18.06.2011, 11:15

В браузерах выскакивает окно о том, что подхвачен Trojan.Win32.Ddox.ci, и требуется обновить браузер. Помогите!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.06.2011, 11:16

Уважаемый(ая) Mr. Orange, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 18.06.2011, 12:43

Выполните скрипт в AVZ

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\ip_fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\32.scr','');
 QuarantineFile('C:\WINDOWS\system32\87.scr','');
 QuarantineFile('C:\WINDOWS\system32\52.scr','');
 QuarantineFile('C:\WINDOWS\system32\33.scr','');
 QuarantineFile('C:\WINDOWS\system32\25.scr','');
 QuarantineFile('C:\WINDOWS\system32\81.scr','');
 QuarantineFile('C:\WINDOWS\system32\44.scr','');
 QuarantineFile('C:\WINDOWS\system32\30.scr','');
 QuarantineFile('C:\WINDOWS\system32\15.scr','');
 QuarantineFile('C:\WINDOWS\system32\06.scr','');
 QuarantineFile('C:\WINDOWS\system32\03.scr','');
 QuarantineFile('C:\WINDOWS\system32\74.scr','');
 QuarantineFile('C:\WINDOWS\system32\62.scr','');
 QuarantineFile('C:\WINDOWS\system32\31.scr','');
 QuarantineFile('C:\WINDOWS\system32\08.scr','');
 QuarantineFile('C:\WINDOWS\system32\77.scr','');
 QuarantineFile('C:\WINDOWS\system32\72.scr','');
 QuarantineFile('C:\WINDOWS\system32\68.scr','');
 QuarantineFile('C:\WINDOWS\system32\63.scr','');
 QuarantineFile('C:\WINDOWS\system32\56.scr','');
 QuarantineFile('C:\WINDOWS\system32\27.scr','');
 QuarantineFile('C:\WINDOWS\system32\01.scr','');
 QuarantineFile('C:\WINDOWS\system32\86.scr','');
 QuarantineFile('C:\WINDOWS\system32\71.scr','');
 QuarantineFile('C:\WINDOWS\system32\60.scr','');
 QuarantineFile('C:\WINDOWS\system32\53.scr','');
 QuarantineFile('C:\WINDOWS\system32\40.scr','');
 QuarantineFile('C:\WINDOWS\system32\41.scr','');
 QuarantineFile('C:\WINDOWS\system32\36.scr','');
 QuarantineFile('C:\WINDOWS\system32\23.scr','');
 QuarantineFile('C:\WINDOWS\system32\21.scr','');
 QuarantineFile('C:\WINDOWS\system32\00.scr','');
 QuarantineFile('C:\WINDOWS\system32\75.scr','');
 QuarantineFile('C:\WINDOWS\system32\35.scr','');
 QuarantineFile('C:\WINDOWS\system32\28.scr','');
 QuarantineFile('C:\WINDOWS\system32\05.scr','');
 QuarantineFile('C:\WINDOWS\system32\84.scr','');
 QuarantineFile('C:\WINDOWS\system32\82.scr','');
 QuarantineFile('C:\WINDOWS\system32\64.scr','');
 QuarantineFile('C:\WINDOWS\system32\16.scr','');
 QuarantineFile('C:\WINDOWS\system32\10.scr','');
 QuarantineFile('C:\WINDOWS\system32\50.scr','');
 QuarantineFile('C:\WINDOWS\system32\65.scr','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('C:\autorun.exe','');
 QuarantineFile('C:\WINDOWS\system32\zaxhtnn.dll','');
 DeleteFile('C:\WINDOWS\system32\zaxhtnn.dll');
 DeleteFile('C:\autorun.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('E:\autorun.wsh');
 DeleteFile('C:\WINDOWS\system32\65.scr');
 DeleteFile('C:\WINDOWS\system32\50.scr');
 DeleteFile('C:\WINDOWS\system32\10.scr');
 DeleteFile('C:\WINDOWS\system32\16.scr');
 DeleteFile('C:\WINDOWS\system32\64.scr');
 DeleteFile('C:\WINDOWS\system32\82.scr');
 DeleteFile('C:\WINDOWS\system32\84.scr');
 DeleteFile('C:\WINDOWS\system32\05.scr');
 DeleteFile('C:\WINDOWS\system32\28.scr');
 DeleteFile('C:\WINDOWS\system32\35.scr');
 DeleteFile('C:\WINDOWS\system32\75.scr');
 DeleteFile('C:\WINDOWS\system32\00.scr');
 DeleteFile('C:\WINDOWS\system32\21.scr');
 DeleteFile('C:\WINDOWS\system32\23.scr');
 DeleteFile('C:\WINDOWS\system32\36.scr');
 DeleteFile('C:\WINDOWS\system32\41.scr');
 DeleteFile('C:\WINDOWS\system32\40.scr');
 DeleteFile('C:\WINDOWS\system32\53.scr');
 DeleteFile('C:\WINDOWS\system32\60.scr');
 DeleteFile('C:\WINDOWS\system32\71.scr');
 DeleteFile('C:\WINDOWS\system32\86.scr');
 DeleteFile('C:\WINDOWS\system32\01.scr');
 DeleteFile('C:\WINDOWS\system32\27.scr');
 DeleteFile('C:\WINDOWS\system32\56.scr');
 DeleteFile('C:\WINDOWS\system32\63.scr');
 DeleteFile('C:\WINDOWS\system32\68.scr');
 DeleteFile('C:\WINDOWS\system32\72.scr');
 DeleteFile('C:\WINDOWS\system32\77.scr');
 DeleteFile('C:\WINDOWS\system32\08.scr');
 DeleteFile('C:\WINDOWS\system32\31.scr');
 DeleteFile('C:\WINDOWS\system32\62.scr');
 DeleteFile('C:\WINDOWS\system32\74.scr');
 DeleteFile('C:\WINDOWS\system32\03.scr');
 DeleteFile('C:\WINDOWS\system32\06.scr');
 DeleteFile('C:\WINDOWS\system32\15.scr');
 DeleteFile('C:\WINDOWS\system32\30.scr');
 DeleteFile('C:\WINDOWS\system32\44.scr');
 DeleteFile('C:\WINDOWS\system32\81.scr');
 DeleteFile('C:\WINDOWS\system32\25.scr');
 DeleteFile('C:\WINDOWS\system32\33.scr');
 DeleteFile('C:\WINDOWS\system32\52.scr');
 DeleteFile('C:\WINDOWS\system32\87.scr');
 DeleteFile('C:\WINDOWS\system32\32.scr');
 DeleteFile('C:\autorun.pif');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

**Mr. Orange** · 18.06.2011, 14:18

Спасибо кажется помогло

**Bratez** · 18.06.2011, 15:22

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,autorun.bat,

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
 BC_DeleteSvc('aeaudio');
 BC_DeleteSvc('dtscsi');
 BC_DeleteSvc('FETNDIS');
 BC_DeleteSvc('gel90xne');
 BC_DeleteSvc('MidiSyn');
 BC_DeleteSvc('npkcrypt');
 BC_DeleteSvc('SFilter');
 BC_DeleteSvc('smwdm');
BC_ServiceKill('vavbws');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Mr. Orange** · 18.06.2011, 15:54

вот

**Bratez** · 18.06.2011, 16:01

Чисто.

**Mr. Orange** · 18.06.2011, 16:07

спасибо

**CyberHelper** · 19.06.2011, 16:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 141
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\zaxhtnn.dll - Trojan.Win32.Zapchast.gzb ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Barys.2494, AVAST4: Win32:MalOb-HG [Cryp] )

Trojan.Win32.Ddox.ci (заявка № 103898)

Опции темы