Firefox ругается на Trojan.Win32.Ddox.ci

[pivanov]

Добрый день!

При открытии сайта sbrf.ru Firefox ругался на Trojan.Win32.Ddox.ci.
Firefox был сразу обновлен (через Справка->О Firefox)

Потом с помощью hijackthis были исправлены следующие строки:

O4 - HKCU\..\Run: [FileSystem] C:\WINDOWS\system32\60acd052.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\avolkova\Application Data\netprotocol.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xhulesf.dll

А с помощью avz указанные файлы были удалены.
Руками перед удалением смог найти только xhulesf.dll, проверил его на virustotal'е - результат был 6/40, в числе этих 6 были две версии Аваста и ДрВеб.
Из-под сборки PE проверил систему с помощью обновленного DrWeb - нашлось два вируса во временных папках Java в профиле пользователя, оба были удалены.
После самостоятельной чистки обновил flash player, java и adobe reader.

Но еще остались подозрения.. Перед сменой паролей с этого компьютера прошу помощи в оценке логов на предмет зловредов.
Логи сделаны после всех самостоятельных манипуляций.

Заранее большое спасибо за помощь!

[Info_bot]

Уважаемый(ая) pivanov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Bratez]

O4 - HKCU\..\Run: [FileSystem] C:\WINDOWS\system32\60acd052.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\avolkova\Application Data\netprotocol.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xhulesf.dll

Строчки пофиксили - это хорошо, а сами файлы удалили? Если нет - запакуйте их в zip с паролем virus и пришлите по красной ссылке для карантина, а потом удалите.

Еще вот этот файлик интересует:
C:\Temp\Firefox\firefox.exe
(нормальный софт в temp-папках не живет, не так ли?)
Его тоже пришлите как карантин (см. приложение 2 правил).

[pivanov]

Спасибо за ответ!

Архив по ссылке вверху страницы послал.

Файл сохранён как 110623_120647_xhulesf_4e032c5736a1e.zip
Размер файла 29002
MD5 170ab44fe6ceac2fa520ccd9723f4486

Файлы я удалял, сперва искал их Total Commander'ом из-под PE - нашелся только xhulesf.dll который я перед удалением проверял на virustotal.com
Потом из-под рабочей системы все три удалял с помощью отложенного удаления AVZ.
Причину по которой Firefox был установлен в Temp я уже наверное не найду, но это нормальный, установленный с дистрибутива с mozilla, Firefox
Сейчас на всякий случай пришлю его как карантин.

Добавлено через 25 минут

Выслал карантин по ссылке выше.

Файл сохранён как 110623_123758_Quarantine_4e0333a61ddd3.zip
Размер файла 319759
MD5 664a9eb7766eb7f114b3281cf9f54103

Но уже удалил (через установку/удаление) Firefox из Temp и поставил куда следует.

Сделать ли логи по новой?
Есть ли еще опасения что "хвосты" остались?


Заранее спасибо за ответ!

[thyrex]

Что с проблемой?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\xhulesf.dll - Trojan.Win32.Agent.huvb ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Barys.2494, AVAST4: Win32:MalOb-HG [Cryp] )