Trojan.Win32.Ddox.ci (Rootkit.Boot.Cidox.a): удаление баннера

Последнее время наблюдается большое количество обращений в раздел [URL="http://virusinfo.info/forumdisplay.php?f=46"]"Помогите!"[/URL] с жалобой на угрозу [B]Trojan.Win32.Ddox.ci (Trojan.Win32.Agent, Rootkit.Boot.Cidox.a)[/B].

Пользователи, чей компьютер был заражён данной вредоносной программой жалуются на отсутствие доступа в социальную сеть "Вконтакте" и другие проблемы, связанные с затруднением доступа в интернет.

Присутствие [B]Trojan.Win32.Ddox.ci[/B] в системе характеризуется наличием баннера со следующим текстом:

[COLOR="RoyalBlue"]"В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера."[/COLOR]

[U][B]За загрузку указанных обновлений требуется плата.[/B][/U]

[B]Примеры баннеров:[/B]

[CENTER][IMG]http://i034.radikal.ru/1106/d8/dd75e4430314.jpg[/IMG]


[IMG]http://s57.radikal.ru/i158/1106/17/4662611996f9.jpg[/IMG]


[IMG]http://s54.radikal.ru/i145/1106/a5/35c35f7795d8.jpg[/IMG][/CENTER]

В логе AVZ файл вредоносной программы [I][случайная комбинация латинских букв].dll[/I] отображается в списке загруженных модулей, а также в списке подозрительных объектов (Подозрение на Keylogger или троянскую DLL ):

[CENTER][IMG]http://i077.radikal.ru/1106/9c/c1137d087736.jpg[/IMG][/CENTER]

[B]Примеры жалоб:[/B]
[url]http://virusinfo.info/showthread.php?t=103862[/url]
[url]http://virusinfo.info/showthread.php?t=103579[/url]
[url]http://virusinfo.info/showthread.php?t=103862[/url]
[url]http://virusinfo.info/showthread.php?t=103848[/url]
[url]http://virusinfo.info/showthread.php?t=103845[/url]
[url]http://virusinfo.info/showthread.php?t=103832[/url]
[url]http://virusinfo.info/showthread.php?t=103762[/url]

Если на Вашем компьютере обнаружена данная вредоносная программа [B][U]не торопитесь устанавливать никаких навязываемых обновлений[/U][/B].

Для эффективного удаления ознакомьтесь с нашими [URL="http://virusinfo.info/pravila.html"]правилами оформления запроса[/URL] и [URL="http://virusinfo.info/newthread.php?do=newthread&f=46"]создайте новую тему[/URL] в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]"Помогите!"[/URL].
Наши специалисты помогут Вам.

[SIZE="4"][CENTER][B][COLOR="Red"]Отмечено появление новой модификации данного вымогателя.[/COLOR][/B][/CENTER][/SIZE]

[SIZE="3"]Новая версия использует технологию буткита и получила название [B]Rootkit.Boot.Cidox.a[/B] (самоназвание осталось прежним).

Для удаления данной модификации воспользуйтесь бесплатной лечащей утилитой [B][URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL][/B].

[B][COLOR="Red"]!!![/COLOR][/B] Возможность удаления данной вредоносной программы добавлена в функционал [B][URL="http://support.kaspersky.ru/downloads/utils/tdsskiller.zip"]TDSSKiller[/URL][/B]. Для удаления баннера загрузите утилиту и запустите её. Дождитесь результатов сканирования.

Если после выполнения указанных рекомендаций у Вас остались подозрения на присутствие вредоносной программы в системе обратитесь в раздел [URL="http://virusinfo.info/forumdisplay.php?f=46"]"Помогите!"[/URL].
[/SIZE]

А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?;)

[QUOTE=Никита;808055]А как происходит сам процесс заражения?Напишите,пожалуйста кто знает,очень интересно. Пользователи в один голос все говорят,что ничего не качали,ничего не нажимали....Неужто через дыры в браузере и флэше?;)[/QUOTE]
Подцеплял его 2 раза. Сидишь Вконтакте, никого не трогаешь, шаришься по группам. Вдруг раз - компьютер в ребут. Судя по логам антивиря - браузер начинает что-то качать с постороннего сайта. Судя по всему, все это грузится через виджеты, которые установленны в группах.

Ужос..Думаю самое время вспомнить про Google Chrome с его встроенной песочницей из-за этой повальной эпидемии;) И я надеюсь администрация Вконтакте приняла соответствующие меры противодействующие распространению этой заразы...

Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.

[QUOTE='Olejah;808105']администрация Вконтакте может быть вообще не при чём.[/QUOTE]Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...

А кто спорит. Эти данные просто ничем не потверждены. Ни разу кстати не юзал виджеты. А расширения с офсайта - качай, не хочу.

[QUOTE=Olejah;808105]Не забывайте, это только предположение, администрация Вконтакте может быть вообще не при чём.[/QUOTE]
Да,согласен администрация-то социалки не при чём, а вот некоторые "разработчики" виджетов.....,которые на API Вконтакте и сочиняют эту дрянь.Это моё ИМХО

Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?

[QUOTE=Iron Monk;808106]Виджеты - наверно это про расширения на браузеры? Что ставим, то и получим. Это реально - исполнимый файл, который запускается не двойным кликом, а браузером...[/QUOTE]
Нее,виджеты устанавливаются непосредственно на страничках личных и в группах

[QUOTE='Никита;808115']Нее,виджеты устанавливаются непосредственно на страничках личных и в группах[/QUOTE] Про что и песня. Виджет - это ОТДЕЛЬНАЯ программа, которая вешается как расширение к браузеру. Раньше - в мое детство - это называлось плагин.

[QUOTE=Iron Monk;808113]Имея этот вирус в системе можно ли обойти подгрузку банеров простым переименованием имен браузеров? Трой же, процесс по имени ищет? И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?[/QUOTE]
Только это нужно до заражения наверное делать;) Хотя в реале был случай,что зловред сначала проникал в процесс одного браузера, другие долго работали без проблем,а потом и все установленные в системе заражались

[QUOTE='Iron Monk;808113']И ищет только 4 распространенных браузера? И только при подключении к интернету? Я прав?[/QUOTE] Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.

[QUOTE='Никита;808121']а потом и все установленные в системе заражались[/QUOTE]? Это файловый вирус? Это довольно банальный трой.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE='Olejah;808123']Именно так, если юзать какой-нибудь Maxthon, всё должно быть в порядке. В смысле выводится дряни не будет никакой, хотя сидеть трой будет.[/QUOTE]+50 как минимум. Даже через простой эксплорер обходится(народу можно было бы шорт хэлп написать - чтоб не мучились).

[QUOTE]? Это файловый вирус? Это довольно банальный трой.[/QUOTE]
Я имею ввиду баннер позже появлялся и во всех остальных.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

И вот ещё что интересно: руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?

[QUOTE='Никита;808134']Я имею ввиду баннер позже появлялся и во всех остальных.[/QUOTE]Если Вы посмотрите дамп зараженного бут сектора, про "всех остальных" Вы промолчите. [URL="http://virusinfo.info/showpost.php?p=808123&postcount=13"]http://virusinfo.info/showpost.php?p=808123&postcount=13[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE='Никита;808134']руткит-составляющая баннера-это доработанная версия троя-вымогателя или она позже подгружается в довесок,если вовремя не удалить баннер?[/QUOTE] этот драйвер стыдно называть руткитом.

Добрый день. сталкнулся с выше описанным вирусом. первый раз помогло, вылечил. сегодня он снова влез ко мне в комп. Касперский 6 даже не ругнулся. появился вначале банер, а потом система загрузилась на 100 процентов 3 процессами SVCHOST.exe Local Service 50 %, Network service и Sistem по 25%. В безопасный режимкомпьютер не входит, перегружается. Пользовался востановлением риестра xp-safeboot не помогло. В первый раз в авптоолс помог. Сегодня снимал диск и прогонял на другой машине. ни каспер и докток веб вирус не нашли. Машина продолжает быть загруженой. что мне делать?

Добрый день. Все просьбы о помощи в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL]. Опишите там подробно проблему.

Добрый день. Сегодня словил данного трояна, начал гуглить и искать решение проблемы, по первым советам сканил комп virus removal tool,Malwarebytes' Anti-Malware,avz. Находило пару троянов, но как оказалось не как не влияющих на работу браузера :)
После просканил диспетчер задач прогой SecurityTaskManager и увидел что один файл под названием spzlvie.dll у меня определяется как опасный.Лежал файл по пути D:\WINDOWS\system32. Проверил дату и время создания файла и она оказалось той, в которое я словил трояна. Через эту же программу я запретил этот файл(после удалил). Перезагрузка компа и вуаля все отлично.:)
p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?

[quote="San4o;810979"]p.s только вот что смущает, собственно и напрашивается вопрос, мог ли он где нибудь оставить хвосты о себе?[/quote]Да, поэтому мы рекомендуем обращаться в раздел "помогите".