вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy ]

**dina** · 27.10.2012, 10:08

Здравствуйте!
На компьютере были вирусы блокирующие файлы m. office и рисунки (отправьте смс ...). После проверки doktor web данные файлы перестали нормально открываться (файлы excel -краказябры; фото, рисунки -крестик). Кроме всего прочего при открытии браузера Opera постоянно вылезает сайт с вирусами speed 2. Хотя его постоянно убираешь из вкладки по умолч. После него опять приходится проверять компьютер.
Не могу загрузить virusinfo_cure.zip весит 751.9 KB
Если нужны файлы, то они загружены в http://rghost.ru/41182108
А файл virusinfo_cure.zip в [удалено]

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.10.2012, 10:09

Уважаемый(ая) dina, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.10.2012, 11:51

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
 DeleteService('mkdrv');
 DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сообщение от dina

После проверки doktor web данные файлы перестали нормально открываться

Полный бред, они у Вас не смогли бы нормально открыться и без проверки. Оригиналы зашифрованных файлов есть? Скорее всего подхватили шифровальщика Hanar (Encoder.162), причем версию, которая шифрует алгоритмом Blowfish

**dina** · 27.10.2012, 13:06

Оригиналов нет. Карантин отправлен. Логи выложены. virusinfo_cure.zip в [удалено]

**regist** · 27.10.2012, 13:31

virusinfo_cure.zip загрузите по ссылке Прислать запрошенный карантин вверху темы.

Профиксите в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F7BCC26-D5F9-4FEE-AE40-27614C96FEA8}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{78649829-2C61-45A5-9F90-85C7861AFDB1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A687026F-9DFD-447B-A397-56A17AB73478}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABDC59F7-D9F3-4053-81C1-F987E638CAB9}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B10079A3-56E8-4C1E-9D03-231E1CCC5F69}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1

если после фикса пропадёт интернет, то пропишите вручную настройки DNS рекомендуемые провайдером.

Сделайте полный образ автозапуска uVS

**dina** · 27.10.2012, 13:55

Сделано. Что делать дальше?

**regist** · 27.10.2012, 17:15

Выполните скрипт в uVS

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo D:\AUTORUN.INF
delref HTTP://BROWSERHELP2.RU
zoo F:\AUTORUN.EXE
delref F:\AUTORUN.EXE
zoo %SystemDrive%\PROGRAM FILES\MEGAFON INTERNET\UPDATEDOG\OUC.EXE
zoo %SystemDrive%\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT
; C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
addsgn 1AB9739A5583798FF42BFB3A8849FE2D268AFC55C1CB5F780CCE818D10D6F85963268357B748A1786B800DAA7E2709FAF4E2DC4315DAD6A03817956FC760AE7E 8 TASKHOST.EXE

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
zoo %SystemDrive%\PROGRAM FILES\DD2\DD1\VIDISH.BAT
chklst
delvir
czoo
restart

- Сделайте лог полного сканирования МВАМ.

**dina** · 27.10.2012, 19:47

Готово

**thyrex** · 27.10.2012, 20:27

Удалите в МВАМ все, кроме

Код:

Обнаруженные ключи в реестре:  3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QipGuard (Spyware.Zbot) -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные файлы:  15
C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
C:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> Действие не было предпринято.

**dina** · 27.10.2012, 21:44

Сделано.

**regist** · 28.10.2012, 00:20

где лог контрольного/повторного сканирования MBAM ?

смените все пароли!

- - - Добавлено - - -

карантин uVS почему не прислали ?

6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)

**dina** · 28.10.2012, 14:37

Архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ был правда в формате rar. Пришлось переупаковывать. Новая проверка MBAM сделана. Лог прилагаю.

**regist** · 28.10.2012, 15:23

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe', 'MBAM: Spyware.Zbot');
QuarantineFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe', 'MBAM: Backdoor.Cidox');
QuarantineFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe', 'MBAM: Backdoor.Cidox');
QuarantineFile('C:\WINDOWS\system32\GreenFields.scr', 'MBAM: Malware.Packer.Gen');
QuarantineFile('C:\WINDOWS\system32\MRS.exe', 'MBAM: Backdoor.Bot');
DeleteFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe');
DeleteFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe');
 QuarantineFileF('C:\PROGRAM FILES\INSTA2','*', true,'',0 ,0);
 QuarantineFileF('C:\PROGRAM FILES\DD2','*', true,'',0 ,0);
 DeleteFile('C:\PROGRAM FILES\DD2\DD1\VIDISH.BAT');
 DeleteFile('C:\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT');
DeleteFile('C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторный лог MBAM

смените все пароли !

**dina** · 28.10.2012, 15:47

Карантин отправлен. Позже пришлю лог.

**regist** · 28.10.2012, 15:58

+ снова сделайте лог uVS

Содержимое папок

Код:

C:\PROGRAM FILES\INSTA2
C:\PROGRAM FILES\DD2

посмотрите и сообщите

**CyberHelper** · 28.10.2012, 16:08

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 27
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\альберт\\local settings\\temp\\ygiczt74.exe - Backdoor.Win32.Cidox.ddy ( BitDefender: Gen:Variant.Zusy.20965 )
2. c:\\system volume information\\_restore{0d00d316-3e4f-40b6-a4e6-e99232d8fb26}\\rp371\\a0116505.exe - Backdoor.Win32.Cidox.ddo ( DrWEB: Trojan.Mayachok.17986, BitDefender: Gen:Variant.Zusy.20965 )

вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy ] (заявка № 126291)

Опции темы

вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy ]

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Поражены и не открываются файлы Microsoft Office и изображения

Добрый доктор или таинственный незнакомец,вирус блокирующий файлы.

Vista + Office: не открываются doc-файлы

Помогите: Microsoft office не открывает файлы

Метки для этой темы

Ваши права в разделе