-
Junior Member
- Вес репутации
- 47
Firefox ругается на Trojan.Win32.Ddox.ci
Добрый день!
При открытии сайта sbrf.ru Firefox ругался на Trojan.Win32.Ddox.ci.
Firefox был сразу обновлен (через Справка->О Firefox)
Потом с помощью hijackthis были исправлены следующие строки:
O4 - HKCU\..\Run: [FileSystem] C:\WINDOWS\system32\60acd052.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\avolkova\Application Data\netprotocol.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xhulesf.dll
А с помощью avz указанные файлы были удалены.
Руками перед удалением смог найти только xhulesf.dll, проверил его на virustotal'е - результат был 6/40, в числе этих 6 были две версии Аваста и ДрВеб.
Из-под сборки PE проверил систему с помощью обновленного DrWeb - нашлось два вируса во временных папках Java в профиле пользователя, оба были удалены.
После самостоятельной чистки обновил flash player, java и adobe reader.
Но еще остались подозрения.. Перед сменой паролей с этого компьютера прошу помощи в оценке логов на предмет зловредов.
Логи сделаны после всех самостоятельных манипуляций.
Заранее большое спасибо за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) pivanov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
pivanov
O4 - HKCU\..\Run: [FileSystem] C:\WINDOWS\system32\60acd052.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\avolkova\Application Data\netprotocol.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xhulesf.dll
Строчки пофиксили - это хорошо, а сами файлы удалили? Если нет - запакуйте их в zip с паролем virus и пришлите по красной ссылке для карантина, а потом удалите.
Еще вот этот файлик интересует:
C:\Temp\Firefox\firefox.exe
(нормальный софт в temp-папках не живет, не так ли?)
Его тоже пришлите как карантин (см. приложение 2 правил).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Спасибо за ответ!
Архив по ссылке вверху страницы послал.
Файл сохранён как 110623_120647_xhulesf_4e032c5736a1e.zip
Размер файла 29002
MD5 170ab44fe6ceac2fa520ccd9723f4486
Файлы я удалял, сперва искал их Total Commander'ом из-под PE - нашелся только xhulesf.dll который я перед удалением проверял на virustotal.com
Потом из-под рабочей системы все три удалял с помощью отложенного удаления AVZ.
Причину по которой Firefox был установлен в Temp я уже наверное не найду, но это нормальный, установленный с дистрибутива с mozilla, Firefox
Сейчас на всякий случай пришлю его как карантин.
Добавлено через 25 минут
Выслал карантин по ссылке выше.
Файл сохранён как 110623_123758_Quarantine_4e0333a61ddd3.zip
Размер файла 319759
MD5 664a9eb7766eb7f114b3281cf9f54103
Но уже удалил (через установку/удаление) Firefox из Temp и поставил куда следует.
Сделать ли логи по новой?
Есть ли еще опасения что "хвосты" остались?
Заранее спасибо за ответ!
Последний раз редактировалось pivanov; 23.06.2011 в 16:40.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\xhulesf.dll - Trojan.Win32.Agent.huvb ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Barys.2494, AVAST4: Win32:MalOb-HG [Cryp] )
-