-
Junior Member
- Вес репутации
- 47
trojan.win32.ddox.ci
Симптомы стандарт. Контакт требует смс +банер от мозилы.
Находил вирус утилитой от Каспера. Но при перезапуске браузера все началось сначала.
http://exfile.ru/191104 - hijackthis
http://exfile.ru/191122 - virusinfo_syscure.zip
http://exfile.ru/191108 - virusinfo_syscheck.zip
Последний раз редактировалось Трунин; 07.07.2011 в 19:10.
Причина: забыл отключить восстановление. переделал
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Трунин, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
База в АВЗ не надо обновлять?
Логи обязательно куда-то на файлообменник надо засунуть, вместо того, чтобы в теме прикрепить?
Правила для кого написаны?
http://virusinfo.info/pravila.html
Доколе?
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Windows\system32\gzgmteb.dll','');
DeleteFile('C:\Windows\system32\gzgmteb.dll');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Пофиксите в HijackThis (как пофиксить):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 47
все. сделал. сейчас лог сделаю.
Последний раз редактировалось Трунин; 07.07.2011 в 20:14.
-
Junior Member
- Вес репутации
- 47
карантин отправил.
лог вот.
вопрос. каким образом он проникает на комп?
-
Лог старый прикрепили.
Сделайте пункт 2 раздела "Диагностика" правил и прикрепите его опять.
И новый лог HijackThis тоже (пункт 3).
http://virusinfo.info/pravila.html
-
-
Junior Member
- Вес репутации
- 47
выполнил.
так как вирус этот на комп проникает? при постоянной работе КИСа.
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Windows\setup.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 47
-
Ладно, аналитики не отвечают, значит будем считать, что файл безопасный.
Проблемы есть еще?
-
-
Junior Member
- Вес репутации
- 47
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\gzgmteb.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6258885, NOD32: Win32/Agent.SFM trojan )
-