Trojan.Win32.Ddox.ci

@night_artem · Регистрация: 14.07.2011

Author24 — интернет-сервис помощи студентам

Здраствуйте. У меня вот какая проблема: я "якобы" поймал вирус Trojan.Win32.Ddox.ci и любой браузер предлагает обновиться, естественно не за бесплатно. Сразу видно - развод. В соцсети не заходит, большинсво сайтов либо блокируются, либо открываются в исходном коде. Заранее спасибо.

@Dr.Xank · 14.07.2011, 19:58

Здравствуйте!

Вам знаком этот файл?

Код

C:\Program Files\VPets\VPets.exe

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vececmf.dll','');
 QuarantineFile('C:\WINDOWS\system32\1127.tmp','');
 QuarantineFile('C:\WINDOWS\system32\1122.tmp','');
 DeleteFile('C:\WINDOWS\system32\vececmf.dll');
 DeleteFile('C:\WINDOWS\system32\1127.tmp');
 DeleteFile('C:\WINDOWS\system32\1122.tmp');
 RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код

R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O2 - BHO: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O3 - Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\vececmf.dll

Не которых строк может не быть!!!

Если вам не знаком данный сайт

Код

http://webalta.ru
http://www.APEHA.ru

то пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Не которых строк может не быть!!!

Сделайте повторные логи

+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Что с проблемой?

Обновить Adobe Acrobat:
В Step 1 выберете Вашу ОС
В Step 2 выберете язык
В Step 3 выберете версию reader (актуальную версию).

@night_artem · 14.07.2011, 21:34 **[ТС]**

Проблема решена, спасибо ещё раз!! Честно, не ожидал, что так быстро решат))

@night_artem · 14.07.2011, 21:39 **[ТС]**

1.(прога) Да, знаком, а, что?
2. С webalt-ой были проблемы: постоянно лезла в домашнюю страницу, хоть пинком выгоняй. Уже и реестр почистил, и всё равно каким-то образом лезла. Щас вроде успокоилась, посмотрим))

@Dr.Xank · 14.07.2011, 22:21

Здравствуйте!

пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

Сделайте повторные логи AVZ, RSIT, MBAMM

Что с проблемой?

@Dr.Xank Марсианин))) 713 / 46 / 15 Регистрация: 18.07.2010 Сообщений: 634
	14.07.2011, 19:58	2
	Здравствуйте! Вам знаком этот файл? Код C:\Program Files\VPets\VPets.exe • Выполните скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vececmf.dll',''); QuarantineFile('C:\WINDOWS\system32\1127.tmp',''); QuarantineFile('C:\WINDOWS\system32\1122.tmp',''); DeleteFile('C:\WINDOWS\system32\vececmf.dll'); DeleteFile('C:\WINDOWS\system32\1127.tmp'); DeleteFile('C:\WINDOWS\system32\1122.tmp'); RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(8); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file) O2 - BHO: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file) O3 - Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\vececmf.dll Не которых строк может не быть!!! Если вам не знаком данный сайт Код http://webalta.ru http://www.APEHA.ru то пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk Не которых строк может не быть!!! Сделайте повторные логи + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Что с проблемой? Обновить Adobe Acrobat: В Step 1 выберете Вашу ОС В Step 2 выберете язык В Step 3 выберете версию reader (актуальную версию). 0

@night_artem 0 / 0 / 0 Регистрация: 14.07.2011 Сообщений: 3
	14.07.2011, 21:39 [ТС]	4
	1.(прога) Да, знаком, а, что? 2. С webalt-ой были проблемы: постоянно лезла в домашнюю страницу, хоть пинком выгоняй. Уже и реестр почистил, и всё равно каким-то образом лезла. Щас вроде успокоилась, посмотрим)) 0

	14.07.2011, 22:21