Поймал вирус [Trojan.Win32.Cidox.tpd, HEUR:Trojan.Win32.Generic ]

[Mecker]

Здравствуйте!
Значит, вчера я сидел за компьютером, сидел в интернете, и на одном форуме игры мне нужно было выложить скриншот. Я попробовал залить на бесплатный обменник RGhost, но он был внесен в игнор того форума. Пришлось заливать на "Радикал". Когда я попал на сайт, начала вылезать огромнейшая куча рекламы. Я, стараясь ничего не нажимать, выполнял действия по заливке изображения, но при каждом щелчке мыши вылезало новое окно браузера с рекламой. Скриншот залить удалось, все прошло успешно, но я заметил что после посещения сайта начала быстро мигать командная строка, будто бы какие-то действия выполнялись системой.
Все это было в браузере "Мозила Фаерфокс".
Сегодня включая данный браузер на каждом сайте вылазит баннер, говорящий отправить СМС и ввести номер телефона, а так же баннеры, состоящие из вопросительных знаков и непонятных символов(скриншоты могу предоставить), еще вылазят сообещния, мол нужно обновить браузер, и найдет какой-то троян. "Гугл Хром" вообще не работает, не заходит на сайты. IE заходит, но его начальная страница изменилась на "mailgosearch"(это случаем не вирус-тулбар типа "Вебалта"?), и работает он криво. Сейчас сижу и пишу вам через "Яндекс браузер", но ничего не могу скачать, ибо все скачиваемое блокируется и обозначается как зловредные.
Из антивирусов у меня только Microsoft Security Essentials, но он ничего не находит.
АВЗ в стандартной проверке тоже ничего не нашел.

Много написал, вроде все, надеюсь можно что-то сделать.
Спасибо!

[Info_bot]

Уважаемый(ая) Mecker, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Mecker]

Прикрепил

[Techno]

SweetIM Toolbar удалите через установку/удаление программ.

- Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{26B8212B-6118-4382-9EC9-64ADE71B2EB3}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 37.157.255.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{26B8212B-6118-4382-9EC9-64ADE71B2EB3}: NameServer = 37.157.255.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{26B8212B-6118-4382-9EC9-64ADE71B2EB3}: NameServer = 37.157.255.150

- Выполните в АВЗ:

Код:

begin
 ClearQuarantine;
 SetServiceStart('newdriver', 4);
 StopService('newdriver');
 QuarantineFile('C:\Users\Игорь\AppData\Roaming\Informer\informer.dll','');
 QuarantineFile('C:\Windows\system32\drivers\hzyrthva.sys','');
 QuarantineFile('C:\Windows\system32\drivers\kzcpstnb.sys','');
 QuarantineFile('C:\Windows\system32\drivers\lztgkste.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ocqqeatn.sys','');
 QuarantineFile('C:\Windows\xored.sys','');
 QuarantineFile('C:\Windows\system32\rzlzeim.dll','');
 DeleteFile('C:\Windows\system32\rzlzeim.dll');
 DeleteFile('C:\Windows\xored.sys');
 DeleteFile('C:\Windows\system32\drivers\ocqqeatn.sys');
 DeleteFile('C:\Windows\system32\drivers\lztgkste.sys');
 DeleteFile('C:\Windows\system32\drivers\kzcpstnb.sys');
 DeleteFile('C:\Windows\system32\drivers\hzyrthva.sys');
 DeleteFile('C:\Users\D395~1\AppData\Local\Temp\46608418FdOh');
 DeleteFile('C:\Users\Игорь\appdata\roaming\informer\informer.dll');
 DelBHO('{3543619C-D563-43f7-95EA-4DA7E1CC396A}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','46609042');
 DeleteService('ocqqeatn');
 DeleteService('lztgkste');
 DeleteService('kzcpstnb');
 DeleteService('hzyrthva');
 DeleteService('newdriver');
 DeleteFileMask('C:\Users\Игорь\appdata\roaming\informer','*',true);
 DeleteDirectory('C:\Users\Игорь\appdata\roaming\informer');
DeleteFileMask('C:\Program Files\SweetIM','*',true);
 DeleteDirectory('C:\Program Files\SweetIM');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[Mecker]

Значит так, SweetIM тулбар удалил, и соответственно в HijackThis пункты с этим названием пропали.
Вроде бы та ерунда пропала, все работает.
Вот логи, сейчас отправлю карантин. Вроде бы все сделал правильно, если что-то не то сделал - исправьте пожалуйста.

[Techno]

- Выполните в АВЗ:

Код:

begin
 DeleteFile('C:\Windows\system32\drivers\bfrhcyqx.sys');
DeleteService('bfrhcyqx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

Повторите virusinfo_syscheck.zip

Что с проблемами?

[Mecker]

Проблем больше не вижу, все работает прекрасно.
Брауезры не тупят, баннеры не вылазят, все прекрасно.
Большое спасибо!
Вот лог

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rzlzeim.dll - Trojan.Win32.Cidox.tpd ( DrWEB: Trojan.Mayachok.18550 )
  2. c:\\windows\\xored.sys - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Hosts.6547 )