Показано с 1 по 16 из 16.

вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy ] (заявка № 126291)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58

    вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy ]

    Здравствуйте!
    На компьютере были вирусы блокирующие файлы m. office и рисунки (отправьте смс ...). После проверки doktor web данные файлы перестали нормально открываться (файлы excel -краказябры; фото, рисунки -крестик). Кроме всего прочего при открытии браузера Opera постоянно вылезает сайт с вирусами speed 2. Хотя его постоянно убираешь из вкладки по умолч. После него опять приходится проверять компьютер.
    Не могу загрузить virusinfo_cure.zip весит 751.9 KB
    Если нужны файлы, то они загружены в http://rghost.ru/41182108
    А файл virusinfo_cure.zip в [удалено]
    Последний раз редактировалось thyrex; 27.10.2012 в 13:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) dina, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\WINDOWS\mkdrv.sys','');
     DeleteService('mkdrv');
     DeleteFile('C:\WINDOWS\mkdrv.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Цитата Сообщение от dina Посмотреть сообщение
    После проверки doktor web данные файлы перестали нормально открываться
    Полный бред, они у Вас не смогли бы нормально открыться и без проверки. Оригиналы зашифрованных файлов есть? Скорее всего подхватили шифровальщика Hanar (Encoder.162), причем версию, которая шифрует алгоритмом Blowfish
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Оригиналов нет. Карантин отправлен. Логи выложены. virusinfo_cure.zip в [удалено]

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    virusinfo_cure.zip загрузите по ссылке Прислать запрошенный карантин вверху темы.


    Профиксите в HijackThis

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3F7BCC26-D5F9-4FEE-AE40-27614C96FEA8}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{78649829-2C61-45A5-9F90-85C7861AFDB1}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A687026F-9DFD-447B-A397-56A17AB73478}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{ABDC59F7-D9F3-4053-81C1-F987E638CAB9}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B10079A3-56E8-4C1E-9D03-231E1CCC5F69}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
    если после фикса пропадёт интернет, то пропишите вручную настройки DNS рекомендуемые провайдером.

    Сделайте полный образ автозапуска uVS

  7. #6
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Сделано. Что делать дальше?
    Последний раз редактировалось dina; 27.10.2012 в 14:11.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo D:\AUTORUN.INF
    delref HTTP://BROWSERHELP2.RU
    zoo F:\AUTORUN.EXE
    delref F:\AUTORUN.EXE
    zoo %SystemDrive%\PROGRAM FILES\MEGAFON INTERNET\UPDATEDOG\OUC.EXE
    zoo %SystemDrive%\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT
    ; C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
    addsgn 1AB9739A5583798FF42BFB3A8849FE2D268AFC55C1CB5F780CCE818D10D6F85963268357B748A1786B800DAA7E2709FAF4E2DC4315DAD6A03817956FC760AE7E 8 TASKHOST.EXE
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
    zoo %SystemDrive%\PROGRAM FILES\DD2\DD1\VIDISH.BAT
    chklst
    delvir
    czoo
    restart
    - Сделайте лог полного сканирования МВАМ.

  9. #8
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Готово

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    Обнаруженные ключи в реестре:  3
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QipGuard (Spyware.Zbot) -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  3
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    Обнаруженные файлы:  15
    C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
    C:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Сделано.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    где лог контрольного/повторного сканирования MBAM ?

    смените все пароли!

    - - - Добавлено - - -

    карантин uVS почему не прислали ?

    6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

  13. #12
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ был правда в формате rar. Пришлось переупаковывать. Новая проверка MBAM сделана. Лог прилагаю.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
    QuarantineFile('C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe', 'MBAM: Spyware.Zbot');
    QuarantineFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe', 'MBAM: Backdoor.Cidox');
    QuarantineFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe', 'MBAM: Backdoor.Cidox');
    QuarantineFile('C:\WINDOWS\system32\GreenFields.scr', 'MBAM: Malware.Packer.Gen');
    QuarantineFile('C:\WINDOWS\system32\MRS.exe', 'MBAM: Backdoor.Bot');
    DeleteFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe');
    DeleteFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe');
     QuarantineFileF('C:\PROGRAM FILES\INSTA2','*', true,'',0 ,0);
     QuarantineFileF('C:\PROGRAM FILES\DD2','*', true,'',0 ,0);
     DeleteFile('C:\PROGRAM FILES\DD2\DD1\VIDISH.BAT');
     DeleteFile('C:\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT');
    DeleteFile('C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторный лог MBAM

    смените все пароли !

  15. #14
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    32
    Вес репутации
    58
    Карантин отправлен. Позже пришлю лог.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    + снова сделайте лог uVS

    Содержимое папок

    Код:
    C:\PROGRAM FILES\INSTA2
    C:\PROGRAM FILES\DD2
    посмотрите и сообщите

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\альберт\\local settings\\temp\\ygiczt74.exe - Backdoor.Win32.Cidox.ddy ( BitDefender: Gen:Variant.Zusy.20965 )
      2. c:\\system volume information\\_restore{0d00d316-3e4f-40b6-a4e6-e99232d8fb26}\\rp371\\a0116505.exe - Backdoor.Win32.Cidox.ddo ( DrWEB: Trojan.Mayachok.17986, BitDefender: Gen:Variant.Zusy.20965 )


  • Уважаемый(ая) dina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 14.08.2012, 17:22
    2. Добрый доктор или таинственный незнакомец,вирус блокирующий файлы.
      От Северная принцесса в разделе Вредоносные программы
      Ответов: 9
      Последнее сообщение: 02.06.2010, 11:33
    3. Vista + Office: не открываются doc-файлы
      От Danae в разделе Windows для опытных пользователей
      Ответов: 13
      Последнее сообщение: 13.04.2010, 14:04
    4. Помогите: Microsoft office не открывает файлы
      От IlushinDNS в разделе Софт - общий
      Ответов: 2
      Последнее сообщение: 29.05.2009, 01:19

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01612 seconds with 17 queries