Printable View
Здравствуйте, на днях подцепил вирус [URL="http://virusinfo.info/showthread.php?t=104361"]Trojan.Win32.Ddox.ci[/URL], выскакивает табличка с предложением обновить браузер, в контакт не пускает, страницы некоторые открывает в html коде. Искренне надеюсь на вашу помощь.
Уважаемый(ая) [B]Lucker2h[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xhgvare.dll','');
DeleteFile('C:\WINDOWS\system32\xhgvare.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
Повторные логи
проблема по-прежнему существует
[size="1"][color="#666686"][B][I]Добавлено через 1 час 5 минут[/I][/B][/color][/size]
up
1. Скачайте [url=http://support.kaspersky.ru/viruses/solutions?qid=208636926]TDSSkiller[/url], распакуйте на диск C
2. Запустите TDSSkiller таким образом: c:\tdsskiller.exe -gmbr
3. На диске С найдите папку с карантином утилиты (у нее характерное имя, перепутать невозможно)
4. Скопируйте в эту папку файл c:\ntldr (скрытый системный)
5. Запакуйте всю папку в архив с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделал, архив прислал
вот кстати новые логи
[B]Rootkit.Win32.Cidox.a[/B] - но это пока только детект на компоненты. Само тело еще не определено
и что делать?
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 35 минут[/I][/B][/color][/size]
up
попробовал сам разобраться в проблеме, сделал логи при включенном браузере и с вылезшим баннером.
может кто подскажет, вот это нормально?
C:\WINDOWS\System32\Drivers\arc9q3j9.SYS
C:\DOCUME~1\Denis\LOCALS~1\Temp\eZB7I1BA.sys
Кстати хотел найти вручную вот эти вот файлы и проверить касперским, но их нету, а в логах показано, что они существуют...
ниже логи
никто не поможет?(
Загрузитесь с установочного диска Windows в косоли восстановления (Recovery Console).
Выполните в консоли восстановления команды:
fixmbr
fixboot
Перезагрузите компьютер.
а как насчёт логов? в них всё нормально?
В логах подозрительного нет.
Мои рекомендации в моем предыдущем сообщении выполнили? Или есть проблемы?
всем спасибо, поставил KIS 2011, обновил базы и он засёк эту заразу, Trojan.Win32.Cidox.a
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\xhgvare.dll - [B]Trojan.Win32.Cidox.au[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Barys.2494, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]