Trojan.Win32.Ddox.ci

Printable View

15.06.2011, 16:31
Feyde

Trojan.Win32.Ddox.ci

Здравствуйте. Ситуация такая же как и у всех выше отписавшихся по данному вирусу: постоянные вылеты + предложение скинуть смс.
Стоял ДрВёб, однако погуглив нашел предположение, что в вылетах виноват спайдермэйл (предложений отправить смс до этого момента не появлялось)... поэтому снес его. Так же во время работы скриптов фаерфокс несколько раз вылетал, поэтому приходилось перезапускать.
Надеюсь на вашу помощь. Заранее спасибо.
15.06.2011, 16:32
Info_bot

Уважаемый(ая) [B]Feyde[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
15.06.2011, 16:50
Acidorum

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск Н
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\vpets\vpets.exe');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys','');
QuarantineFile('C:\WINDOWS\apppatch\mnfwel.dat','');
QuarantineFile('C:\WINDOWS\system32\csspeue.dll','');
QuarantineFile('c:\program files\vpets\vpets.exe','');
DeleteFile('c:\program files\vpets\vpets.exe');
DeleteFile('C:\WINDOWS\system32\csspeue.dll');
DeleteFile('C:\WINDOWS\apppatch\mnfwel.dat');
DeleteFile('H:\autorun.inf');
DeleteFileMask('c:\program files\vpets', '*.*', true);
DeleteDirectory('c:\program files\vpets');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
15.06.2011, 17:11
Feyde

Спасибо!
Карантин отправил, логи прикрепил.
Чисто?

П.С. авторан на флешке - не вирус, скорее наоборот. Так что на него внимание пожалуйста не обращайте.
15.06.2011, 17:36
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[/code]
В остальном порядок.
15.06.2011, 17:40
Feyde

Всё сделал. Спасибо еще раз. Выручили.
16.06.2011, 17:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\apppatch\\mnfwel.dat - [B]Backdoor.Win32.Shiz.ekg[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.28177, AVAST4: Win32:MalOb-IP [Cryp] )[*] c:\\windows\\system32\\csspeue.dll - [B]Trojan.Win32.Agent.huue[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.253625, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]