Trojan.Win32.Ddox.ci

@truesergun · Регистрация: 13.07.2011

Author24 — интернет-сервис помощи студентам

приветствую! Схватил это непотребство. Помогите излечиться.

Логи АВЗ И Хайджека прикрепил

@~~Katharsis~~ · 13.07.2011, 15:32

лог rsit сделайте

@truesergun · 13.07.2011, 15:46 **[ТС]**

Сообщение от Katharsis

лог rsit сделайте

cделал. Запаковал в архив,т.к. вести 27 кило

@truesergun · 13.07.2011, 15:48 **[ТС]**

вот еще лог

@~~Katharsis~~ · 13.07.2011, 15:54

1.В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\gcjeozi.dll

нажмите "Fix checked"

если это не вашанастройка, это тоже:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer предоставлен: www.4free.in.ua

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\TS_9CAC.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_A9D9.tmp','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\_uninst_16916866.bat','');
 QuarantineFile('C:\Windows\system32\gcjeozi.dll','');
 QuarantineFile('C:\Program Files\opera\setupapi.dll','');
 QuarantineFile('C:\Windows\system32\4CE9.tmp','');
 QuarantineFile('C:\Windows\system32\255F.tmp','');
 DeleteFile('C:\Windows\system32\255F.tmp');
 DeleteFile('C:\Windows\system32\4CE9.tmp');
 DeleteFile('C:\Program Files\opera\setupapi.dll');
 DeleteFile('C:\Windows\system32\gcjeozi.dll');
 DeleteFile('C:\Windows\Temp\TS_A9D9.tmp');
 DeleteFile('C:\Windows\Temp\TS_9CAC.tmp');
 RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.повторите логи avz и rsit(с проверкой файлов за 3 месяца)

5.обновите:
adobe reader , Sun Java
а так же: Adobe Flash Player, QuickTime, надстройки браузеров.

_uninst_16916866.bat - это ваш файл?

@truesergun · 13.07.2011, 15:57 **[ТС]**

Сообщение от Katharsis

_uninst_16916866.bat - это ваш файл?

сейчас все сделаю.

не припомню,что это за файл.

@truesergun · 13.07.2011, 18:19 **[ТС]**

троян устранен. Спасибо большое. Вот новые логи

@~~Katharsis~~ · 13.07.2011, 19:13

Из найденного Malwarebytes удалите:

Зараженные файлы:
c:\Users\администратор\AppData\Local\Temp\0.39685142542905016.exe (Worm.KoobFace) -> No action taken.
c:\Users\администратор\AppData\Local\Temp\0.9869324633394436.exe (Worm.KoobFace) -> No action taken.
c:\Users\администратор\AppData\Local\Temp\updater.exe (Trojan.VKHost) -> No action taken.
c:\program files\battlefield 2142\bfmod.dll (Trojan.Small) -> No action taken.
c:\program files\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> No action taken.
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
c:\Users\администратор\AppData\Local\Temp\0.5716269174586115.exe (Exploit.Drop.2) -> No action taken.

лог повторите.

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\drivers\smfy.sys','');
 DeleteFile('C:\Windows\System32\drivers\smfy.sys');
 DeleteFile('C:\Users\Администратор\AppData\Local\Temp\_uninst_16916866.bat');
BC_ImportAll;
ExecuteSysClean;
  BC_DeleteSvc('smfy');
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

повторите лог virusinfo_syscheck.zip (стандартный скрипт 2)

@~~Katharsis~~ Заблокирован
	13.07.2011, 15:32	2
	лог rsit сделайте 0

@~~Katharsis~~ Заблокирован
	13.07.2011, 15:54	5
	1.В логе сканирования Hijackthis отметьте: R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: C:\Windows\system32\gcjeozi.dll нажмите "Fix checked" если это не вашанастройка, это тоже: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer предоставлен: www.4free.in.ua 2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\Temp\TS_9CAC.tmp',''); QuarantineFile('C:\Windows\Temp\TS_A9D9.tmp',''); QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\_uninst_16916866.bat',''); QuarantineFile('C:\Windows\system32\gcjeozi.dll',''); QuarantineFile('C:\Program Files\opera\setupapi.dll',''); QuarantineFile('C:\Windows\system32\4CE9.tmp',''); QuarantineFile('C:\Windows\system32\255F.tmp',''); DeleteFile('C:\Windows\system32\255F.tmp'); DeleteFile('C:\Windows\system32\4CE9.tmp'); DeleteFile('C:\Program Files\opera\setupapi.dll'); DeleteFile('C:\Windows\system32\gcjeozi.dll'); DeleteFile('C:\Windows\Temp\TS_A9D9.tmp'); DeleteFile('C:\Windows\Temp\TS_9CAC.tmp'); RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.повторите логи avz и rsit(с проверкой файлов за 3 месяца) 5.обновите: adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, надстройки браузеров. _uninst_16916866.bat - это ваш файл? 2

@truesergun 0 / 0 / 0 Регистрация: 13.07.2011 Сообщений: 5
	13.07.2011, 15:57 [ТС]	6
	Сообщение от Katharsis _uninst_16916866.bat - это ваш файл? сейчас все сделаю. не припомню,что это за файл. 0

@~~Katharsis~~ Заблокирован
	13.07.2011, 19:13	8
	Из найденного Malwarebytes удалите: Зараженные файлы: c:\Users\администратор\AppData\Local\Temp\0.39685142542905016.exe (Worm.KoobFace) -> No action taken. c:\Users\администратор\AppData\Local\Temp\0.9869324633394436.exe (Worm.KoobFace) -> No action taken. c:\Users\администратор\AppData\Local\Temp\updater.exe (Trojan.VKHost) -> No action taken. c:\program files\battlefield 2142\bfmod.dll (Trojan.Small) -> No action taken. c:\program files\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> No action taken. c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken. c:\Users\администратор\AppData\Local\Temp\0.5716269174586115.exe (Exploit.Drop.2) -> No action taken. лог повторите. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\drivers\smfy.sys',''); DeleteFile('C:\Windows\System32\drivers\smfy.sys'); DeleteFile('C:\Users\Администратор\AppData\Local\Temp\_uninst_16916866.bat'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('smfy'); BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. повторите лог virusinfo_syscheck.zip (стандартный скрипт 2) 0