-
Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a): удаление баннера
Последнее время наблюдается большое количество обращений в раздел "Помогите!" с жалобой на угрозу Trojan.Win32.Ddox.ci (Trojan.Win32.Agent, Rootkit.Boot.Cidox.a).
Пользователи, чей компьютер был заражён данной вредоносной программой жалуются на отсутствие доступа в социальную сеть "Вконтакте" и другие проблемы, связанные с затруднением доступа в интернет.
Присутствие Trojan.Win32.Ddox.ci в системе характеризуется наличием баннера со следующим текстом:
"В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера."
За загрузку указанных обновлений требуется плата.
Примеры баннеров:
В логе AVZ файл вредоносной программы [случайная комбинация латинских букв].dll отображается в списке загруженных модулей, а также в списке подозрительных объектов (Подозрение на Keylogger или троянскую DLL ):
Примеры жалоб:
http://virusinfo.info/showthread.php?t=103862
http://virusinfo.info/showthread.php?t=103579
http://virusinfo.info/showthread.php?t=103862
http://virusinfo.info/showthread.php?t=103848
http://virusinfo.info/showthread.php?t=103845
http://virusinfo.info/showthread.php?t=103832
http://virusinfo.info/showthread.php?t=103762
Если на Вашем компьютере обнаружена данная вредоносная программа не торопитесь устанавливать никаких навязываемых обновлений.
Для эффективного удаления ознакомьтесь с нашими правилами оформления запроса и создайте новую тему в разделе "Помогите!".
Наши специалисты помогут Вам.
Отмечено появление новой модификации данного вымогателя.
Новая версия использует технологию буткита и получила название Rootkit.Boot.Cidox.a (самоназвание осталось прежним).
Для удаления данной модификации воспользуйтесь бесплатной лечащей утилитой AVPTool.
!!! Возможность удаления данной вредоносной программы добавлена в функционал TDSSKiller. Для удаления баннера загрузите утилиту и запустите её. Дождитесь результатов сканирования.
Если после выполнения указанных рекомендаций у Вас остались подозрения на присутствие вредоносной программы в системе обратитесь в раздел "Помогите!".
Последний раз редактировалось Никита Соловьев; 29.06.2011 в 22:20.
Причина: обновлены примеры баннеров.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?
-
Junior Member
- Вес репутации
- 47
Сообщение от
Никита
А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?
Подцеплял его 2 раза. Сидишь Вконтакте, никого не трогаешь, шаришься по группам. Вдруг раз - компьютер в ребут. Судя по логам антивиря - браузер начинает что-то качать с постороннего сайта. Судя по всему, все это грузится через виджеты, которые установленны в группах.
-
Ужос..Думаю самое время вспомнить про Google Chrome с его встроенной песочницей из-за этой повальной эпидемии И я надеюсь администрация Вконтакте приняла соответствующие меры противодействующие распространению этой заразы...
-
Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.
-
-
Сообщение от
Olejah
администрация Вконтакте может быть вообще не при чём.
Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...
...причиняю добро и наношу непоправимую пользу...
-
-
А кто спорит. Эти данные просто ничем не потверждены. Ни разу кстати не юзал виджеты. А расширения с офсайта - качай, не хочу.
-
-
Сообщение от
Olejah
Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.
Да,согласен администрация-то социалки не при чём, а вот некоторые "разработчики" виджетов.....,которые на API Вконтакте и сочиняют эту дрянь.Это моё ИМХО
-
Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
...причиняю добро и наношу непоправимую пользу...
-
-
Сообщение от
Iron Monk
Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...
Нее,виджеты устанавливаются непосредственно на страничках личных и в группах
-
Сообщение от
Никита
Нее,виджеты устанавливаются непосредственно на страничках личных и в группах
Про что и песня. Виджет - это ОТДЕЛЬНАЯ программа, которая вешается как расширение к браузеру. Раньше - в мое детство - это называлось плагин.
...причиняю добро и наношу непоправимую пользу...
-
-
Сообщение от
Iron Monk
Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
Только это нужно до заражения наверное делать Хотя в реале был случай,что зловред сначала проникал в процесс одного браузера, другие долго работали без проблем,а потом и все установленные в системе заражались
-
Сообщение от
Iron Monk
И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?
Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.
-
-
Сообщение от
Никита
а потом и все установленные в системе заражались
? Это файловый вирус? Это довольно банальный трой.
Добавлено через 3 минуты
Сообщение от
Olejah
Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.
+50 как минимум. Даже через простой эксплорер обходится(народу можно было бы шорт хэлп написать - чтоб не мучились).
Последний раз редактировалось Iron Monk; 09.07.2011 в 00:38.
Причина: Добавлено
...причиняю добро и наношу непоправимую пользу...
-
-
? Это файловый вирус? Это довольно банальный трой.
Я имею ввиду баннер позже появлялся и во всех остальных.
Добавлено через 2 минуты
И вот ещё что интересно: руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?
Последний раз редактировалось Никита; 09.07.2011 в 00:48.
Причина: Добавлено
-
Сообщение от
Никита
Я имею ввиду баннер позже появлялся и во всех остальных.
Если Вы посмотрите дамп зараженного бут сектора, про "всех остальных" Вы промолчите. http://virusinfo.info/showpost.php?p...3&postcount=13
Добавлено через 4 минуты
Сообщение от
Никита
руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?
этот драйвер стыдно называть руткитом.
Последний раз редактировалось Iron Monk; 09.07.2011 в 00:53.
Причина: Добавлено
...причиняю добро и наношу непоправимую пользу...
-
-
Junior Member
- Вес репутации
- 47
Добрый день. сталкнулся с выше описанным вирусом. первый раз помогло, вылечил. сегодня он снова влез ко мне в комп. Касперский 6 даже не ругнулся. появился вначале банер, а потом система загрузилась на 100 процентов 3 процессами SVCHOST.exe Local Service 50 %, Network service и Sistem по 25%. В безопасный режимкомпьютер не входит, перегружается. Пользовался востановлением риестра xp-safeboot не помогло. В первый раз в авптоолс помог. Сегодня снимал диск и прогонял на другой машине. ни каспер и докток веб вирус не нашли. Машина продолжает быть загруженой. что мне делать?
-
Добрый день. Все просьбы о помощи в разделе Помогите. Опишите там подробно проблему.
-
-
Junior Member
- Вес репутации
- 47
Добрый день. Сегодня словил данного трояна, начал гуглить и искать решение проблемы, по первым советам сканил комп virus removal tool,Malwarebytes' Anti-Malware,avz. Находило пару троянов, но как оказалось не как не влияющих на работу браузера
После просканил диспетчер задач прогой SecurityTaskManager и увидел что один файл под названием spzlvie.dll у меня определяется как опасный.Лежал файл по пути D:\WINDOWS\system32. Проверил дату и время создания файла и она оказалось той, в которое я словил трояна. Через эту же программу я запретил этот файл(после удалил). Перезагрузка компа и вуаля все отлично.
p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?
-
Сообщение от
San4o
p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?
Да, поэтому мы рекомендуем обращаться в раздел "помогите".
-