Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a): удаление баннера

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955

    Exclamation Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a): удаление баннера

    Последнее время наблюдается большое количество обращений в раздел "Помогите!" с жалобой на угрозу Trojan.Win32.Ddox.ci (Trojan.Win32.Agent, Rootkit.Boot.Cidox.a).

    Пользователи, чей компьютер был заражён данной вредоносной программой жалуются на отсутствие доступа в социальную сеть "Вконтакте" и другие проблемы, связанные с затруднением доступа в интернет.

    Присутствие Trojan.Win32.Ddox.ci в системе характеризуется наличием баннера со следующим текстом:

    "В системе обнаружен вирус. Использование интернета нежелательно.
    Браузер зафиксировал попытки внесения изменений в его работу.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера."


    За загрузку указанных обновлений требуется плата.

    Примеры баннеров:








    В логе AVZ файл вредоносной программы [случайная комбинация латинских букв].dll отображается в списке загруженных модулей, а также в списке подозрительных объектов (Подозрение на Keylogger или троянскую DLL ):


    Примеры жалоб:
    http://virusinfo.info/showthread.php?t=103862
    http://virusinfo.info/showthread.php?t=103579
    http://virusinfo.info/showthread.php?t=103862
    http://virusinfo.info/showthread.php?t=103848
    http://virusinfo.info/showthread.php?t=103845
    http://virusinfo.info/showthread.php?t=103832
    http://virusinfo.info/showthread.php?t=103762

    Если на Вашем компьютере обнаружена данная вредоносная программа не торопитесь устанавливать никаких навязываемых обновлений.

    Для эффективного удаления ознакомьтесь с нашими правилами оформления запроса и создайте новую тему в разделе "Помогите!".
    Наши специалисты помогут Вам.

    Отмечено появление новой модификации данного вымогателя.


    Новая версия использует технологию буткита и получила название Rootkit.Boot.Cidox.a (самоназвание осталось прежним).

    Для удаления данной модификации воспользуйтесь бесплатной лечащей утилитой AVPTool.

    !!! Возможность удаления данной вредоносной программы добавлена в функционал TDSSKiller. Для удаления баннера загрузите утилиту и запустите её. Дождитесь результатов сканирования.

    Если после выполнения указанных рекомендаций у Вас остались подозрения на присутствие вредоносной программы в системе обратитесь в раздел "Помогите!".
    Последний раз редактировалось Никита Соловьев; 29.06.2011 в 22:20. Причина: обновлены примеры баннеров.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2011
    Сообщений
    6
    Вес репутации
    47
    Цитата Сообщение от Никита Посмотреть сообщение
    А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?
    Подцеплял его 2 раза. Сидишь Вконтакте, никого не трогаешь, шаришься по группам. Вдруг раз - компьютер в ребут. Судя по логам антивиря - браузер начинает что-то качать с постороннего сайта. Судя по всему, все это грузится через виджеты, которые установленны в группах.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    Ужос..Думаю самое время вспомнить про Google Chrome с его встроенной песочницей из-за этой повальной эпидемии И я надеюсь администрация Вконтакте приняла соответствующие меры противодействующие распространению этой заразы...

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от Olejah Посмотреть сообщение
    администрация Вконтакте может быть вообще не при чём.
    Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...
    ...причиняю добро и наношу непоправимую пользу...

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    А кто спорит. Эти данные просто ничем не потверждены. Ни разу кстати не юзал виджеты. А расширения с офсайта - качай, не хочу.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    Цитата Сообщение от Olejah Посмотреть сообщение
    Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.
    Да,согласен администрация-то социалки не при чём, а вот некоторые "разработчики" виджетов.....,которые на API Вконтакте и сочиняют эту дрянь.Это моё ИМХО

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
    ...причиняю добро и наношу непоправимую пользу...

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...
    Нее,виджеты устанавливаются непосредственно на страничках личных и в группах

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от Никита Посмотреть сообщение
    Нее,виджеты устанавливаются непосредственно на страничках личных и в группах
    Про что и песня. Виджет - это ОТДЕЛЬНАЯ программа, которая вешается как расширение к браузеру. Раньше - в мое детство - это называлось плагин.
    ...причиняю добро и наношу непоправимую пользу...

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
    Только это нужно до заражения наверное делать Хотя в реале был случай,что зловред сначала проникал в процесс одного браузера, другие долго работали без проблем,а потом и все установленные в системе заражались

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
    Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от Никита Посмотреть сообщение
    а потом и все установленные в системе заражались
    ? Это файловый вирус? Это довольно банальный трой.

    Добавлено через 3 минуты

    Цитата Сообщение от Olejah Посмотреть сообщение
    Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.
    +50 как минимум. Даже через простой эксплорер обходится(народу можно было бы шорт хэлп написать - чтоб не мучились).
    Последний раз редактировалось Iron Monk; 09.07.2011 в 00:38. Причина: Добавлено
    ...причиняю добро и наношу непоправимую пользу...

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита
    Регистрация
    12.07.2009
    Адрес
    Иваново
    Сообщений
    166
    Вес репутации
    60
    ? Это файловый вирус? Это довольно банальный трой.
    Я имею ввиду баннер позже появлялся и во всех остальных.

    Добавлено через 2 минуты

    И вот ещё что интересно: руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?
    Последний раз редактировалось Никита; 09.07.2011 в 00:48. Причина: Добавлено

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    279
    Цитата Сообщение от Никита Посмотреть сообщение
    Я имею ввиду баннер позже появлялся и во всех остальных.
    Если Вы посмотрите дамп зараженного бут сектора, про "всех остальных" Вы промолчите. http://virusinfo.info/showpost.php?p...3&postcount=13

    Добавлено через 4 минуты

    Цитата Сообщение от Никита Посмотреть сообщение
    руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?
    этот драйвер стыдно называть руткитом.
    Последний раз редактировалось Iron Monk; 09.07.2011 в 00:53. Причина: Добавлено
    ...причиняю добро и наношу непоправимую пользу...

  18. #17
    Junior Member Репутация
    Регистрация
    15.07.2011
    Сообщений
    16
    Вес репутации
    47
    Добрый день. сталкнулся с выше описанным вирусом. первый раз помогло, вылечил. сегодня он снова влез ко мне в комп. Касперский 6 даже не ругнулся. появился вначале банер, а потом система загрузилась на 100 процентов 3 процессами SVCHOST.exe Local Service 50 %, Network service и Sistem по 25%. В безопасный режимкомпьютер не входит, перегружается. Пользовался востановлением риестра xp-safeboot не помогло. В первый раз в авптоолс помог. Сегодня снимал диск и прогонял на другой машине. ни каспер и докток веб вирус не нашли. Машина продолжает быть загруженой. что мне делать?

  19. #18
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Добрый день. Все просьбы о помощи в разделе Помогите. Опишите там подробно проблему.

  20. #19
    Junior Member Репутация
    Регистрация
    20.07.2011
    Сообщений
    10
    Вес репутации
    47
    Добрый день. Сегодня словил данного трояна, начал гуглить и искать решение проблемы, по первым советам сканил комп virus removal tool,Malwarebytes' Anti-Malware,avz. Находило пару троянов, но как оказалось не как не влияющих на работу браузера
    После просканил диспетчер задач прогой SecurityTaskManager и увидел что один файл под названием spzlvie.dll у меня определяется как опасный.Лежал файл по пути D:\WINDOWS\system32. Проверил дату и время создания файла и она оказалось той, в которое я словил трояна. Через эту же программу я запретил этот файл(после удалил). Перезагрузка компа и вуаля все отлично.
    p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от San4o Посмотреть сообщение
    p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?
    Да, поэтому мы рекомендуем обращаться в раздел "помогите".

  22. Это понравилось:


Страница 1 из 2 12 Последняя

Похожие темы

  1. rootkit.boot.cidox.b
    От gb3 в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 01.06.2012, 14:21
  2. Не удаляется Rootkit.Boot.Cidox.a
    От Fodis в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 23.11.2011, 22:55
  3. Ответов: 2
    Последнее сообщение: 13.08.2011, 13:36
  4. Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a)
    От Денис1953 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 28.07.2011, 20:22
  5. Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a)
    От crook5 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.07.2011, 21:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00749 seconds with 19 queries