# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a): удаление баннера

## Никита Соловьев

Последнее время наблюдается большое количество обращений в раздел "Помогите!" с жалобой на угрозу *Trojan.Win32.Ddox.ci (Trojan.Win32.Agent, Rootkit.Boot.Cidox.a)*.

Пользователи, чей компьютер был заражён данной вредоносной программой жалуются на отсутствие доступа в социальную сеть "Вконтакте" и другие проблемы, связанные с затруднением доступа в интернет.

Присутствие *Trojan.Win32.Ddox.ci* в системе характеризуется наличием баннера со следующим текстом:

"В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера."

*За загрузку указанных обновлений требуется плата.*

*Примеры баннеров:*







 
В логе AVZ файл вредоносной программы _[случайная комбинация латинских букв].dll_ отображается в списке загруженных модулей, а также в списке подозрительных объектов (Подозрение на Keylogger или троянскую DLL ):


*Примеры жалоб:*
http://virusinfo.info/showthread.php?t=103862
http://virusinfo.info/showthread.php?t=103579
http://virusinfo.info/showthread.php?t=103862
http://virusinfo.info/showthread.php?t=103848
http://virusinfo.info/showthread.php?t=103845
http://virusinfo.info/showthread.php?t=103832
http://virusinfo.info/showthread.php?t=103762

Если на Вашем компьютере обнаружена данная вредоносная программа *не торопитесь устанавливать никаких навязываемых обновлений*.

Для эффективного удаления ознакомьтесь с нашими правилами оформления запроса и создайте новую тему в разделе "Помогите!".
Наши специалисты помогут Вам.

*Отмечено появление новой модификации данного вымогателя.*

Новая версия использует технологию буткита и получила название *Rootkit.Boot.Cidox.a* (самоназвание осталось прежним).

Для удаления данной модификации воспользуйтесь бесплатной лечащей утилитой *AVPTool*.

*!!!* Возможность удаления данной вредоносной программы добавлена в функционал *TDSSKiller*. Для удаления баннера загрузите утилиту и запустите её. Дождитесь результатов сканирования.

Если после выполнения указанных рекомендаций у Вас остались подозрения на присутствие вредоносной программы в системе обратитесь в раздел "Помогите!".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Никита

А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше? :Wink:

----------


## tjom

> А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?


 Подцеплял его 2 раза. Сидишь Вконтакте, никого не трогаешь, шаришься по группам. Вдруг раз - компьютер в ребут. Судя по логам антивиря - браузер начинает что-то качать с постороннего сайта. Судя по всему, все это грузится через виджеты, которые установленны в группах.

----------


## Никита

Ужос..Думаю самое время вспомнить про Google Chrome с его встроенной песочницей из-за этой повальной эпидемии :Wink:  И я надеюсь администрация Вконтакте приняла соответствующие меры противодействующие распространению этой заразы...

----------


## olejah

Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.

----------


## Iron Monk

> администрация Вконтакте может быть вообще не при чём.


Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...

----------


## olejah

А кто спорит. Эти данные просто ничем не потверждены. Ни разу кстати не юзал виджеты. А расширения с офсайта - качай, не хочу.

----------


## Никита

> Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.


Да,согласен администрация-то социалки не при чём, а вот некоторые "разработчики" виджетов.....,которые на API Вконтакте и сочиняют эту дрянь.Это моё ИМХО

----------


## Iron Monk

Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?

----------


## Никита

> Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...


Нее,виджеты устанавливаются непосредственно на страничках личных и в группах

----------


## Iron Monk

> Нее,виджеты устанавливаются непосредственно на страничках личных и в группах


 Про что и песня. Виджет - это ОТДЕЛЬНАЯ программа, которая вешается как расширение  к браузеру. Раньше - в мое детство - это называлось плагин.

----------


## Никита

> Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?


Только это нужно до заражения наверное делать :Wink:  Хотя в реале был случай,что зловред сначала проникал в процесс одного браузера, другие долго работали без проблем,а потом и все установленные в системе заражались

----------


## olejah

> И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?


 Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.

----------


## Iron Monk

> а потом и все установленные в системе заражались


? Это файловый вирус? Это довольно банальный трой.

*Добавлено через 3 минуты*




> Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.


+50 как минимум. Даже через простой эксплорер обходится(народу можно было бы шорт хэлп написать - чтоб не мучились).

----------


## Никита

> ? Это файловый вирус? Это довольно банальный трой.


Я имею ввиду баннер позже появлялся и во всех остальных.

*Добавлено через 2 минуты*

И вот ещё что интересно: руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?

----------


## Iron Monk

> Я имею ввиду баннер позже появлялся и во всех остальных.


Если Вы посмотрите дамп зараженного бут сектора, про "всех остальных" Вы промолчите. http://virusinfo.info/showpost.php?p...3&postcount=13

*Добавлено через 4 минуты*




> руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?


 этот драйвер стыдно называть руткитом.

----------


## crook5

Добрый день. сталкнулся  с выше описанным вирусом. первый раз помогло, вылечил. сегодня он снова влез ко мне в комп. Касперский 6 даже не ругнулся. появился вначале банер, а потом система загрузилась на 100 процентов 3 процессами SVCHOST.exe Local Service 50 %, Network service и Sistem по 25%. В безопасный режимкомпьютер не входит, перегружается. Пользовался востановлением риестра xp-safeboot не помогло. В первый раз в авптоолс помог. Сегодня снимал диск и прогонял на другой машине. ни каспер и докток веб вирус не нашли. Машина продолжает быть загруженой. что мне делать?

----------


## olejah

Добрый день. Все просьбы о помощи в разделе Помогите. Опишите там подробно проблему.

----------


## San4o

Добрый день. Сегодня словил данного трояна, начал гуглить и искать решение проблемы, по первым советам сканил комп virus removal tool,Malwarebytes' Anti-Malware,avz. Находило пару троянов, но как оказалось не как не влияющих на работу браузера  :Smiley: 
После просканил диспетчер задач прогой SecurityTaskManager и увидел что один файл под названием spzlvie.dll у меня определяется как опасный.Лежал файл по пути D:\WINDOWS\system32. Проверил дату и время создания файла и она оказалось той, в которое я словил трояна. Через эту же программу я запретил этот файл(после удалил). Перезагрузка компа и вуаля все отлично. :Smiley: 
p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?

----------


## Никита Соловьев

> p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?


Да, поэтому мы рекомендуем обращаться в раздел "помогите".

----------

*thyrex*

----------


## kroaton

я подловил эту заразу не в контакте(не пользуюсь) ,а через наш региональный трекер.вернее открыл трекер следом открылась вкладка с рекламой какой-то торговой фирмы ну ,а в ней ещё окошко появилось.как обычно всё это дело закрывать и комп в перезагрузку ушёл.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SoberMarik

Нашел еще одну копию мерзавца. Лежал в c:\windows\system32 , имел имя BE99.tmp. Сумма md5 сошлась. Благополучно прихлопнул программой unlocker, т.к. обычными средствами не удалялся.
Названия трояна в различных антивирусных программах:

AVG	                        10.0.0.1190	2011.07.30	Agent3.YJT
BitDefender	        7.2	                2011.07.31	Trojan.Generic.KDV.304017
Emsisoft	                5.1.0.8	        2011.07.30	Trojan.Win32.Mondere!IK
GData	                22	                2011.07.31	Trojan.Generic.KDV.304017
Ikarus	                T3.1.1.104.0	2011.07.30	Trojan.Win32.Mondere
Kaspersky	                9.0.0.837	        2011.07.30	Trojan.Win32.Agent2.dsxg
NOD32	                6337	                2011.07.31	a variant of Win32/Kryptik.QYA
Norman	                6.07.10	        2011.07.30	W32/Kryptik.ABJ
SUPERAntiSpyware	4.40.0.1006	2011.07.30	Trojan.Agent/Gen-Krymag

Всех благ!

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *2*В ходе лечения вредоносные программы в карантинах не обнаружены

----------

