Trojan.Win32.Ddox.ci

Printable View

05.04.2011, 15:09
alexandr1980

Trojan.Win32.Ddox.ci

Здравствуйте,помогите пожалуйста. В браузерах мозилла и опера появилась надпись: "Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера".
логи прилагаю.Заранее спасибо.
05.04.2011, 15:55
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\atywid?.exe','');
QuarantineFile('c:\windows\system32\6fb87f73.exe','');
QuarantineFile('C:\WINDOWS\System\LVMaLogD.DLL','');
QuarantineFile('C:\WINDOWS\system32\ndtvwzl.dll','');
DeleteFile('c:\windows\system32\6fb87f73.exe');
DeleteFile('c:\windows\system32\atywid?.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
05.04.2011, 16:48
alexandr1980

скрипт выполнил,карантин отослал,повторные логи прилагаю.
05.04.2011, 16:57
alexandr1980

вирус не исчез
05.04.2011, 17:24
миднайт

Нужно подождать ответ аналитика по файлу C:\WINDOWS\system32\ndtvwzl.dll
но скорее всего зловред.
05.04.2011, 20:33
alexandr1980

[QUOTE=alexandr1980;780458]вирус не исчез[/QUOTE]

[QUOTE=миднайт;780461]Нужно подождать ответ аналитика по файлу C:\WINDOWS\system32\ndtvwzl.dll
но скорее всего зловред.[/QUOTE]

да согласен похоже на зловреда.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 6 минут[/I][/B][/color][/size]

надеюсь про меня не забыли.:unknw:
05.04.2011, 21:19
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ndtvwzl.dll');
BC_DeleteFile('C:\WINDOWS\system32\ndtvwzl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки повторите логи.
05.04.2011, 21:25
alexandr1980

хорошо спасибо.завтра выполню скрип и повторю логи.
05.04.2011, 21:28
миднайт

Ок.
[B]C:\WINDOWS\system32\ndtvwzl.dll[/B] - [B][COLOR="Red"]Trojan.Win32.Zapchast.ffl[/COLOR][/B] (Kaspersky)
[B][COLOR="#ff0000"]Trojan.Mayachok.1[/COLOR][/B] (DrWeb)
06.04.2011, 18:02
alexandr1980

скрипт выполнил логи повторил
06.04.2011, 18:53
alexandr1980

напише пожалуйста остался ли вирус в системе или все чисто?
06.04.2011, 20:08
Nikkollo

Подозрительного не обнаружил.
Что с проблемой?
06.04.2011, 20:22
alexandr1980

спасибо огромное,проблем больше не наблюдается.
07.04.2011, 20:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ndtvwzl.dll - [B]Trojan.Win32.Zapchast.ffl[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.181143, NOD32: Win32/TrojanDownloader.Agent.QJE trojan, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]