Помогите. Trojan.Win32.Ddox.ci

**lovka4** · 15.07.2011, 16:47

В системе обнаружен вирус Trojan.Win32.Ddox.ci

Пишет следующее:

В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

Заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Nikkollo** · 15.07.2011, 17:29

Пофиксите в HijackThis (как пофиксить):

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: darlibP - {AA12BF73-9DE5-4677-A896-EE56AEA8D667} - (no file)
O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
 QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
 QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
 QuarantineFile('C:\WINDOWS\system32\rittejeku.exe','');
 QuarantineFile('C:\WINDOWS\system32\jedytutan.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\cbzvl.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dkxuunvuhwf.sys','');
 QuarantineFile('C:\windows\Microsoft.NET\zpx2.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zuttu.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\wugo.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\loobittavic.exe','');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}');
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\loobittavic.exe');
 BC_DeleteSvc('a4gu3eiloukyhd2f');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\wugo.exe');
 BC_DeleteSvc('o67ivitg1y6eamwd');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zuttu.exe');
 BC_DeleteSvc('oeytekyx');
 DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 DeleteFile('C:\windows\Microsoft.NET\zpx2.exe');
 BC_DeleteSvc('winsecguard');
 DeleteFile('C:\WINDOWS\system32\drivers\dkxuunvuhwf.sys');
 BC_DeleteSvc('fgoxwbzrxnyj');
 DeleteFile('C:\Documents and Settings\Администратор\cbzvl.exe');
 DeleteFile('C:\WINDOWS\system32\jedytutan.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','kummooky');
 DeleteFile('C:\WINDOWS\system32\rittejeku.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','cuvo');
 DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
 DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
RegKeyStrParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv','Start', 2);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Скачайте, распакуйте и запустите это:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.