Trojan.Win32.Ddox.ci

**JudoO** · 06.04.2011, 19:31

Пожалуйста помогите удалить троян Trojan.Win32.Ddox.ci

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Nikkollo** · 06.04.2011, 20:01

Скачайте свежую версию AVZ:
http://z-oleg.com/avz4.zip

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Сделайте логи AVZ заново и приложите.

**JudoO** · 06.04.2011, 22:41

вот

**Acidorum** · 06.04.2011, 23:00

Здравствуйте.

Протокол антивирусной утилиты AVZ версии 4.32

Не тот лог Вы приложили.

**JudoO** · 06.04.2011, 23:12

Это?

**Acidorum** · 06.04.2011, 23:22

Сообщение от JudoO

Это?

Да, это он.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Media\plugin.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Новая папка\grandados45.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\regi.sys','');
QuarantineFile('C:\WINDOWS\system32\npqesyh.dll','');
DeleteFile('C:\WINDOWS\system32\npqesyh.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Media\plugin.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
WhatService('dvhoervcz');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVZDirectory+'avz.log');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Файл avz.log из папки AVZ приложите к следующему сообщению.

**JudoO** · 06.04.2011, 23:59

вот

**thyrex** · 07.04.2011, 00:37

Сообщение от hedgars

Сделайте повторные логи.

Где эта часть?

**CyberHelper** · 08.04.2011, 00:37

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 38
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\npqesyh.dll - Trojan.Win32.Zapchast.ffq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.194817, AVAST4: Win32:MalOb-HG [Cryp] )