Printable View
При работе в различных браузерах стала появляться табличка об обнаруженном Trojan.Win32.Ddox.ci, требующая загрузить обновления браузера за деньги. Также из-за вируса страницы в интеренет-обозревателях либо не открываются вообще, либо открываются слишком медленно и с большим колличеством ошибок. Тормозится вся работа ПК. В социальной сети "Вкотакте" постоянно просят ввести пароль, но перед этим подтвердить свой телефонный номер, отправив платную смс на предоставляемый номер.
Уважаемый(ая) [B]Мария29[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code] begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteService('Wyeke Service');
DeleteService('Netdix0st');
QuarantineFile('C:\WINDOWS\system32\vqsfvhn.dll','');
DeleteFile('C:\WINDOWS\system32\vqsfvhn.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke129.exe');
DeleteFile('Netdix0st.sys');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Перестала появляться табличка, веб-страницы открываются.
Удалите в MBAM все найденное, [B]кроме этого[/B]:
[CODE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
c:\program files\prince of persia - the two thrones\pop3.exe (Malware.Gen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
[/CODE]
Пофиксите в HijackThis:
[code]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)
O4 - Startup: _uninst_setup_9.0.0.722_10.05.2010_13-30.exe.lnk = C:\Documents and Settings\MeRlynSkina\Local Settings\Temp\_uninst_setup_9.0.0.722_10.05.2010_13-30.exe.bat
O18 - Filter: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
O20 - Winlogon Notify: semdpp - semdpp.dll (file missing)
[/code]
В остальном порядок.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vqsfvhn.dll - [B]Trojan.Win32.Zapchast.gkp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6156730, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]