-
Junior Member
- Вес репутации
- 47
Trojan.Win32.Ddox.ci (скорее всего) - Касперский и доктор Веб не помогают
Словил вирус. Сперва грузил svchost на 100%, потом перестал, но стал выдавать баннер об обновлении браузера:
"Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"
или перенапрявлять на, скорее всего липовую, страницу Ростелекома с просьбой ввести номер телефона.
Помогите, пожалуйста. И скажите, что мне нужно прислать и как это сделать (логи в avz и HijackThis). На домашнем ПК почти ни одна ссылка не открывается, даже справку посмотреть не могу). Заранее, спасибо!
Последний раз редактировалось Kest_p; 30.07.2011 в 16:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Kest_p, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
Kest_p
И скажите, что мне нужно прислать и как это сделать (логи в avz и HijackThis).
Здесь все написано:
http://virusinfo.info/pravila.html.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Вот логи. (правила оформления читал Word'ом, поэтому он также был запущен).
К п.1: Отключил и Интернет и локалку. Исп. браузер Опера. Проц. загружен на 100% svchost.
К п.2: Исп. браузер Опера.
В процессе комп. неск. раз просился в Интернет, я выбирал Автономно.
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\systemhost\24FC2AE3EF2.exe','');
QuarantineFile('C:\WINDOWS\system32\zfuxbce.dll','');
DeleteFile('C:\WINDOWS\system32\zfuxbce.dll');
DeleteFile('C:\systemhost\24FC2AE3EF2.exe');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXG0G3ZXCQ');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 47
Я отправил quarantine.zip (с паролем virus) по красной ссылке, но после успешной загрузки у меня обновилась страница и пропала ссылка на этот файл. Повторно загрузить не удаётся, т.к. пишет, что файл уже загружен. Получен ли карантин? Делаю повторные логи.
-
-
-
Junior Member
- Вес репутации
- 47
Отправляю повторные логи. Пока всё работает отлично, признаков заражения, описанных в первом посте, нет. Спасибо большое!
P.S. Нужно ли переустанавливать браузер?
Последний раз редактировалось Kest_p; 31.07.2011 в 17:30.
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Перезагрузите компьютер и сделайте новый лог HijackThis.
Если все работает, переустанавливать не надо.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Пофиксил. Вот новый лог HijackThis.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\systemhost\\24fc2ae3ef2.exe - Trojan-Dropper.Win32.Injector.dxu ( DrWEB: Trojan.DownLoader4.27852, BitDefender: Gen:Variant.Graftor.682, NOD32: Win32/Spy.SpyEye.CA trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\system32\\zfuxbce.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.304017, AVAST4: Win32:MalOb-HG [Cryp] )
-