Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Trojan.Win32.Ddox.ci эпидемия? (заявка № 104174)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24

    Trojan.Win32.Ddox.ci эпидемия?

    Здравствуйте, Знатоки!

    Либо вышла новая модификация, либо где-то не дорабатывают KAV с доктором...
    Стоит drweb ent suite - не поймал.
    Сканировался в безопасном и с livecd, cureit + KAV removal tool - ничего
    Вирус живет.

    Спасайте..
    Последний раз редактировалось lawpin; 22.06.2011 в 16:22. Причина: attach

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) lawpin, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp','');
    DeleteFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp');
    RegSearch('HKLM', '', 'espE8B9.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.

  5. #4
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    Спасибо за ответ, но этого явно недостаточно..
    В модулях пространства ядра постоянно висит некоторый файл sp??.sys (? - переменные буквы, меняются после перезагрузки). Этого товарища выловить не получается
    Сейчас сделаю новые логи и прикреплю.
    Карантин добавлен.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от lawpin Посмотреть сообщение
    В модулях пространства ядра постоянно висит некоторый файл sp??.sys
    Это не вредоносный файл.

  7. #6
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    не буду спорить, но это не sptd.sys
    в инет пока не выпускаю, жду вердикта.
    Последний раз редактировалось lawpin; 22.06.2011 в 21:51. Причина: добавлен avz.log

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Извините, я кое-что упустил в предидущей рекомендации.
    Выполните скрипт в AVZ:
    Код:
    begin
    RegSearch('HKLM', '', 'espE8B9.tmp');
    SaveLog(GetAVZDirectory+'avz.log');
    end.
    И приложите файл avz.log из папки AVZ к следующему сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    Судя по тому, что последний скрипт был выполнен после лечения и упоминания в реестре остались, лечение было безуспешным, да?
    Дело в том что пути C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp в системе нет, темп был удален еще вчера. Сейчас полностью удалил профиль xxx, как неиспользуемый.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от lawpin Посмотреть сообщение
    лечение было безуспешным
    avz.log приложите, тогда и узнаем.

  11. #10
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    дико извиняюсь, добавил в прошлое сообщение. в реестре хвосты остались.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Print\Providers\313BF988');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet003\Control\Print\Providers\313BF988');
    RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Print\Providers\313BF988');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте повторные логи.

  13. #12
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    последние логи

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Чисто, что с проблемой?

  15. #14
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    Проблема на месте, баннера нет, но страницы прогружаются с середины html кода.. видимо что то пытается внести изменения

    мозилла показывает html обрезки
    IE пишет что недоступен сайт..

    А вот спустя пару минут попыток хождения по инету - вылез баннер
    сейчас добавлю логи

  16. #15
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    сейчас пришлось в особо извращенной вырезать блок с ненавистным баннером в мозилле при помощи ADblock..
    но жить с этой тварью очень не хочется.
    логи в приложении

  17. #16
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    всё настолько безнадёжно?

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните следующее:

    Запустите AVZ, кликните сервис - поиск файлов на диске.

    В открывшемся окне установите следующие параметры:
    Область поиска: выберите диск C:
    Имя файла (или маска): *.dll
    Дата изменения (поставте галочку): диапазон. Укажите последний месяц.
    Поставьте галочки перед: Исключить файлы, известные AVZ как системные и безопасные.

    Нажмите пуск и выполните поиск файлов. Отметьте найденные файлы и кликните "копировать в карантин".

    Пришлите карантин по правилам.

  19. #18
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    Файл сохранён как 110623_074247_quarantine_4e02ee770b457.zip

    Получилось 25м архива, обновлялась java.
    Насколько я знаю, вирусы уже давно используют практику сметы атрибутов даты.

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от lawpin Посмотреть сообщение
    Получилось 25м архива, обновлялась java.
    Насколько я знаю, вирусы уже давно используют практику сметы атрибутов даты.
    25 нормально. Такую тактику используют далеко не все ВП.

    Добавлено через 17 минут

    Среди присланных файлов вредоносных нет. Баннер во всех браузерах?
    Последний раз редактировалось Никита Соловьев; 23.06.2011 в 11:07. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    22.06.2011
    Адрес
    Belgorod
    Сообщений
    17
    Вес репутации
    24
    во всех что стоят, IE8 + Mozilla 5.0

  • Уважаемый(ая) lawpin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.Mayachok.2 | Trojan.Win32.Ddox.ci
      От romablack63rus в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.07.2011, 09:00
    2. Проблема с trojan.Win32.Ddox.ci (Trojan.Win32.Agent)
      От Narliesteam в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 30.06.2011, 16:21
    3. Trojan.Win32.Ddox.ci (Trojan.Win32.Agent).
      От AntiTrojan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.06.2011, 11:00
    4. Trojan.Win32.ddox.ci
      От Pavel S. в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.06.2011, 03:01
    5. Ответов: 9
      Последнее сообщение: 09.02.2007, 03:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01139 seconds with 16 queries