Вирус Trojan.Win32.Ddox.ci

**Niver** · 08.04.2011, 19:03

Позавчера при серфинге комп ушёл на перезагрузку, перед этим попросив выполнить какую то программу - окно просто закрыл.
После при открывании IE вверху выскакивало окно со следующим содержанием(содержимое любых страниц при этом не отображалось, сообщалось об ошибке):
"В системе обнаружен вирус.
Использование интернета нежелательно.Браузер зафиксировал попытки внесения изменений в его работу. Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"

Никаких просьб отправить смс и т.д. не было.
Прислали последний Dr.Web CureIt!, он нашёл некий Trojan.Mayachok.1, который аваст и майкрософт не нашли. После его удаления IE работать стал(страницы отоброжались), но переодически окно сверху всё равно всплывает.
На сайте windows update(http://update.microsoft.com/windowsu...6/default.aspx) происходит следующее:
"Обнаружена угроза
Ваша копия Internet Explorer зафиксировала попытки внесения изменений в его работу. Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности Internet Explorer.
Для безопасного продолжения работы необходимо обновить Internet Explorer
Все изменения внесенные вредоностным ПО Trojan.Win32.Inject.aohy будут устранены."
И кнопка "Обновить IE", при нажатии на которую ненавязчиво просят оплатить обновление всего за 2,49$ с помощю кредитки, PayPal или смс платежа на номер 3381 с текстом 1106105015358.
P.S. Логи делал не под админом, пароль не знаю..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Nikkollo** · 08.04.2011, 19:48

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\diagnostics\svhost.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\common files\diagnostics\svhost.exe','');
 DeleteFile('c:\program files\common files\diagnostics\svhost.exe');
 QuarantineFile('C:\WINDOWS\system32\hhalhqf.dll','');
 DeleteFile('C:\WINDOWS\system32\hhalhqf.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

**Niver** · 08.04.2011, 20:33

Сообщение от Nikkollo

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

Логи прикладываю.

**Nikkollo** · 08.04.2011, 21:40

Подозрительного не обнаружил.
Что с проблемой?

**Niver** · 08.04.2011, 22:00

Nikkollo, Спасибо большое! Проблема ушла.

**CyberHelper** · 09.04.2011, 22:00

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\hhalhqf.dll - Trojan.Win32.Zapchast.ffq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.194817, AVAST4: Win32:MalOb-HG [Cryp] )

Вирус Trojan.Win32.Ddox.ci (заявка № 100510)

Опции темы