Решена Trojan.Win32.Ddox.ci

Статус
В этой теме нельзя размещать новые ответы.

sceptic

Новый пользователь
Сообщения
10
Реакции
0
Выскакивает баннер в Мозиле :"В системе обнаружен вирус. Использование интернета нежелательно."
Так же пишет:"Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)"
 

Вложения

  • virusinfo_syscure.zip
    73.5 KB · Просмотры: 7
  • virusinfo_syscheck.zip
    73.2 KB · Просмотры: 4
  • log.txt
    25.8 KB · Просмотры: 8
  • info.txt
    11.3 KB · Просмотры: 3
нет. но случай тот же, как я понял, когда искал решение проблемы
 
Последнее редактирование:
1. В целях безопасности скачайте и установите Internet Explorer 8

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\orxrcve.dll','');
 QuarantineFile('C:\WINDOWS\system32\60.tmp','');
 QuarantineFile('C:\WINDOWS\system32\5F.tmp','');
 DeleteFile('C:\WINDOWS\system32\orxrcve.dll');
 DeleteFile('C:\WINDOWS\system32\60.tmp');
 DeleteFile('C:\WINDOWS\system32\5F.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip);
Запустите файл TDSSKiller.exe;
Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

4.Если это не ваша стартовая страница - в логе сканирования Hijackthis отметьте:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
нажмите "Fix checked"

"стриптиз на рабочем столе" - ваше?
XTrap - юзаете?

повторите логи avz и rsit, выложите лог combofix
 
нажмите "Fix checked"
это где надо нажать?

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
нет, не моя стартовая страница

"стриптиз на рабочем столе" это что вообще? :) не знаю, не видел такого у себя на компе.

XTrap юзал, игра одна требовала.
 
Комп дико виснет при включении IE. Процесс RubarBroker.exe, мне кажется это он всё вешает. Ну вам профи виднее. Это сообщение еле отправил.

Комбофикс врубал до всех остальных советуемых вами программ. Если нужно включу повторно.
 

Вложения

  • TDSSKiller.2.5.9.0_08.07.2011_19.50.31_log.txt
    36.9 KB · Просмотры: 9
  • mbam-log-2011-07-08 (19-37-40).txt
    1.5 KB · Просмотры: 4
  • log.txt
    28.1 KB · Просмотры: 1
  • info.txt
    11.3 KB · Просмотры: 0
  • ComboFix.txt
    32.8 KB · Просмотры: 6
  • virusinfo_syscheck.zip
    63.3 KB · Просмотры: 1
  • virusinfo_syscure.zip
    62.7 KB · Просмотры: 1
1. скачайте и установите все последние обновления для безопасности windows

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\E28.tmp','');
 DeleteFile('C:\WINDOWS\system32\E28.tmp');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. удалите с компьютера TDSSKiller, повторите логи avz и rsit, сделайте лог combofix.

Процесс RubarBroker.exe, мне кажется это он всё вешает
если мешает - удалите mediabar Toolbar через установку и удаление программ.
 
Не все обновления для Windows удалось установить, т.к. винда не лицензия.

Временами скорость падает настолько, что аська с трудом пашет.
 

Вложения

  • virusinfo_syscure.zip
    59.4 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    58.9 KB · Просмотры: 1
  • log.txt
    31.5 KB · Просмотры: 0
  • info.txt
    11.3 KB · Просмотры: 0
  • ComboFix.txt
    115 KB · Просмотры: 6
Последнее редактирование:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\LocalService\Application Data\Rub5.tmp
c:\documents and settings\LocalService\Application Data\Rub1.tmp
c:\documents and settings\LocalService\Application Data\Rub49.tmp
c:\documents and settings\LocalService\Application Data\Rub48.tmp
c:\documents and settings\LocalService\Application Data\Rub47.tmp
c:\documents and settings\LocalService\Application Data\Rub46.tmp
c:\documents and settings\LocalService\Application Data\Rub45.tmp
c:\documents and settings\LocalService\Application Data\Rub44.tmp
c:\documents and settings\LocalService\Application Data\Rub43.tmp
c:\documents and settings\LocalService\Application Data\Rub42.tmp
c:\documents and settings\LocalService\Application Data\Rub41.tmp
c:\documents and settings\LocalService\Application Data\Rub40.tmp
c:\documents and settings\LocalService\Application Data\Rub3F.tmp
c:\documents and settings\LocalService\Application Data\Rub3E.tmp
c:\documents and settings\LocalService\Application Data\Rub3D.tmp
c:\documents and settings\LocalService\Application Data\Rub3C.tmp
c:\documents and settings\LocalService\Application Data\Rub3B.tmp
c:\documents and settings\LocalService\Application Data\Rub3A.tmp
c:\documents and settings\LocalService\Application Data\Rub39.tmp
c:\documents and settings\LocalService\Application Data\Rub38.tmp
c:\documents and settings\LocalService\Application Data\Rub37.tmp
c:\documents and settings\LocalService\Application Data\Rub36.tmp
c:\documents and settings\LocalService\Application Data\Rub35.tmp
c:\documents and settings\LocalService\Application Data\Rub34.tmp
c:\documents and settings\LocalService\Application Data\Rub33.tmp
c:\documents and settings\LocalService\Application Data\Rub32.tmp
c:\documents and settings\LocalService\Application Data\Rub31.tmp
c:\documents and settings\LocalService\Application Data\Rub30.tmp
c:\documents and settings\LocalService\Application Data\Rub2F.tmp
c:\documents and settings\LocalService\Application Data\Rub2E.tmp
c:\documents and settings\LocalService\Application Data\Rub2D.tmp
c:\documents and settings\LocalService\Application Data\Rub2C.tmp
c:\documents and settings\LocalService\Application Data\Rub2B.tmp
c:\documents and settings\LocalService\Application Data\Rub2A.tmp
c:\documents and settings\LocalService\Application Data\Rub29.tmp
c:\documents and settings\LocalService\Application Data\Rub28.tmp
c:\documents and settings\LocalService\Application Data\Rub26.tmp
c:\documents and settings\LocalService\Application Data\Rub25.tmp
c:\documents and settings\LocalService\Application Data\Rub24.tmp
c:\documents and settings\LocalService\Application Data\Rub23.tmp
c:\documents and settings\LocalService\Application Data\Rub22.tmp
c:\documents and settings\LocalService\Application Data\Rub21.tmp
c:\documents and settings\LocalService\Application Data\Rub20.tmp
c:\documents and settings\LocalService\Application Data\Rub1F.tmp
c:\documents and settings\LocalService\Application Data\Rub1E.tmp
c:\documents and settings\LocalService\Application Data\Rub1D.tmp
c:\documents and settings\LocalService\Application Data\Rub1C.tmp
c:\documents and settings\LocalService\Application Data\Rub1B.tmp
c:\documents and settings\LocalService\Application Data\Rub1A.tmp
c:\documents and settings\LocalService\Application Data\Rub19.tmp
c:\documents and settings\LocalService\Application Data\Rub18.tmp
c:\documents and settings\LocalService\Application Data\Rub27.tmp
c:\documents and settings\LocalService\Application Data\Rub17.tmp
c:\documents and settings\LocalService\Application Data\Rub16.tmp
c:\documents and settings\LocalService\Application Data\Rub15.tmp
c:\documents and settings\LocalService\Application Data\Rub14.tmp
c:\documents and settings\LocalService\Application Data\Rub13.tmp
c:\documents and settings\LocalService\Application Data\Rub12.tmp
c:\documents and settings\LocalService\Application Data\Rub11.tmp
c:\documents and settings\LocalService\Application Data\Rub10.tmp
c:\documents and settings\LocalService\Application Data\RubF.tmp
c:\documents and settings\LocalService\Application Data\RubE.tmp
c:\documents and settings\LocalService\Application Data\RubD.tmp
c:\documents and settings\LocalService\Application Data\RubC.tmp
c:\documents and settings\LocalService\Application Data\RubB.tmp
c:\documents and settings\LocalService\Application Data\RubA.tmp
c:\documents and settings\LocalService\Application Data\Rub9.tmp
c:\documents and settings\LocalService\Application Data\Rub8.tmp
c:\documents and settings\LocalService\Application Data\Rub7.tmp
FileLook::
c:\windows\system32\drivers\mup.sys
FCopy:: 
c:\windows\ServicePackFiles\i386\wscntfy.exe|c:\windows\System32\wscntfy.exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Windows сборка от зверя?
 
Что за сборка винды не знаю. Помню что на диске были и дрова и антивирус.
 

Вложения

  • ComboFix.txt
    27.1 KB · Просмотры: 2
Теперь что с проблемой?

Toolbar с RubarBroker`ом снесли? Установочный диск с windows есть?
 
Насчёт Toolbar не знаю, RubarBroker точно сносил. Диска нет. А что за проблема?
 
А что за проблема?
у вас вроде была)). Проблема, с которой вы обратились сюда решена?

Файл из вложения сохраните в %windir%\system32 и в %windir%\system32\dllcache. Замените расширение с .rar на exe, распаковывать не нужно.
 

Вложения

  • wscntfy.rar
    13.5 KB · Просмотры: 0
Последнее редактирование:
тыкаю на файл вот что мне пишет форум
"sceptic, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами"

а что с проблемой.. ну пока никак себя не проявляет
 
скачайте отсюда

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
combofix-uninstall.jpg


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
___________________________________________________________
Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите enter. Для подтверждения перезаписи нажмите Y.


Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool
 
ПРИОГРОМНОЕ СПАСИБО!

P.S. Мне только вот очень интересно по какой причине Вы помогаете людям? Из чистого альтруизма? Скажите если не секрет.
 
Хобби у нас такое :)
 
Кажется я ошибся насчёт чистоты компа. Домашняя страница автоматом меняется на порносайт и аваст поймал вирус. :sorry:
 
sceptic, с кривой сборкой это будет продолжаться до бесконечности.

Для лечения создайте новую тему. (новая проблема - новая тема).
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу