Trojan.Win32.Ddox.ci помогите удалить пожалуйста

SugarMan · 20.04.2011, 16:52

Здравствуйте, подцепил вирус Trojan.Win32.Ddox.ci
Вот логи AVZ http://webfile.ru/5274232
Подскажите как удалить, заранее спасибо.

Гризлик · 20.04.2011, 17:48

SugarMan, Выполните скрипт в AVZ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\dllhosl.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('c:\windows\system32\oxveje.exe','');
 QuarantineFile('c:\windows\system32\lazjfv.exe','');
 QuarantineFile('C:\DOCUME~1\1D3C~1.COM\LOCALS~1\Temp\ZGS14B.tmp','');
 DeleteService('GarenaPEngine');
 StopService('GarenaPEngine');
 DeleteService('mkdrv');
 StopService('mkdrv');
 QuarantineFile('C:\WINDOWS\sgope.sys','');
 QuarantineFile('c:\windows\system32\rzmcyvk.dll','');
 QuarantineFile('C:\WINDOWS\system32\kkahcvk.dll','');
 DeleteFile('C:\WINDOWS\system32\kkahcvk.dll');
 DeleteFile('c:\windows\system32\rzmcyvk.dll');
 DeleteFile('C:\WINDOWS\sgope.sys');
 DeleteFile('C:\DOCUME~1\1D3C~1.COM\LOCALS~1\Temp\ZGS14B.tmp');
 DeleteFile('c:\windows\system32\lazjfv.exe');
 DeleteFile('c:\windows\system32\oxveje.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\dllhosl.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

SugarMan · 20.04.2011, 18:09

Ошибка ')' expected в позиции 7:17

Гризлик · 20.04.2011, 18:17

SugarMan, Скрипт поправил. Пробуйте

SugarMan · 20.04.2011, 18:33

пытался выполнить в AVZ стандартный скрипт 2 и выложить файл лога virusinfo_syscheck.zip но как начинается выполнение AVZ вылетает и удаляется ярлык что делать ?

Гризлик · 20.04.2011, 18:41

SugarMan, В Безопасном режиме попробуйте его выполнить.
Такой лог сделайте http://pchelpforum.ru/showpost.php?p=206554&postcount=5

SugarMan · 20.04.2011, 19:08

Вот ссылка на файл лога http://webfile.ru/5275221 , выполненный в безопасном режиме.
Теперь мне нужно проделывать то, что говорили ранее ?

Гризлик · 20.04.2011, 19:44

SugarMan, Вот это еще сделайте

Цитата:

Сообщение от Гризлик

Такой лог сделайте http://pchelpforum.ru/showpost.php?p=206554&postcount=5

SugarMan · 20.04.2011, 21:40

http://webfile.ru/5275589 вот лог

Гризлик · 20.04.2011, 22:10

SugarMan, Удалите все найденое в MBAM. После удаления полученый лог выложите сюда.

Выполните скрипт в AVZ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearHostsFile;
 DeleteFile('c:\windows\system32\lazjfv.exe');
 DeleteFile('c:\windows\system32\oxveje.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

SugarMan · 20.04.2011, 22:56

http://webfile.ru/5275752

Гризлик · 20.04.2011, 23:58

SugarMan, Пуск--ВЫполнить--regedit
Идите по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотрите параметр Userinit он должен иметь вид C:\Windows\system32\userinit.exe,(запятая в конце обязательна). Если он другой имеет вид то поправьте. Файлы которые в нем были указаны удалите вручную. (КРОМЕ ]C:\Windows\system32\userinit.exe )этот файл нетрогайте.

SugarMan · 21.04.2011, 00:37

удалить ли адреса в файле юзеринит или искать сами файлы?

Iljeben · 21.04.2011, 03:28

SugarMan, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
BC_ServiceKill('tuplltpni');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

wipi · 12.06.2011, 02:57

---------- Добавлено в 01:57 ---------- Предыдущее сообщение было написано в 01:37 ----------

вот лог http://webfile.ru/5380095

20.04.2011, 16:52	#1 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	Trojan.Win32.Ddox.ci помогите удалить пожалуйста Здравствуйте, подцепил вирус Trojan.Win32.Ddox.ci Вот логи AVZ http://webfile.ru/5274232 Подскажите как удалить, заранее спасибо. Последний раз редактировалось SugarMan; 20.04.2011 в 17:17.

20.04.2011, 22:10	#10 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	SugarMan, Удалите все найденое в MBAM. После удаления полученый лог выложите сюда. Выполните скрипт в AVZ Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); ClearHostsFile; DeleteFile('c:\windows\system32\lazjfv.exe'); DeleteFile('c:\windows\system32\oxveje.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

12.06.2011, 02:57	#15 (ссылка)
wipi Новичок Регистрация: 12.06.2011 Сообщений: 4 Репутация: 0	хеееелппппп(((( ---------- Добавлено в 01:57 ---------- Предыдущее сообщение было написано в 01:37 ---------- вот лог http://webfile.ru/5380095

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите: Trojan.Win32.Ddox.ci	Zverenot	Безопасность	47	28.07.2011 23:58
Помогите удалить Trojan.Win32.Ddox.ci	Alkman	Безопасность	65	27.07.2011 00:08
как удалить Trojan.Win32.Ddox.ci?	Kazon9I	Безопасность	251	24.07.2011 11:16
Помогите удалить вирус Trojan.Win32.Ddox.ci	Петр90	Безопасность	393	24.07.2011 02:00
Trojan.Win32.ddox.ci помогите удалить.	Sdd	Безопасность	35	19.07.2011 19:52
Как удалить Trojan.Win32.Ddox.ci ?	Григорьева Галина	Безопасность	23	18.07.2011 23:53
Кау удалить Trojan.Win32.ddox.ci	x3mall	Безопасность	15	20.04.2011 12:06
помогите удалить Trojan.Win32.Ddox.ci, пожалуйста..	Droopy	Безопасность	4	19.04.2011 21:05
Помогите с Trojan.Win32.Ddox.ci	МаксимЛипецк	Безопасность	5	19.04.2011 12:23
Помогите пожалуйста Trojan.Win32.Ddox.ci	ncuxu	Безопасность	4	17.04.2011 22:50
помогите пожалуйста! Trojan.Win32.ddox.ci , лог внутри	Ejoffsky	Безопасность	2	17.04.2011 12:06
Помогите: Trojan.Win32.Ddox.ci	lecnik	Безопасность	6	12.04.2011 17:05

20.04.2011, 18:09	#3 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	Ошибка ')' expected в позиции 7:17

20.04.2011, 18:17	#4 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	SugarMan, Скрипт поправил. Пробуйте

20.04.2011, 18:33	#5 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	пытался выполнить в AVZ стандартный скрипт 2 и выложить файл лога virusinfo_syscheck.zip но как начинается выполнение AVZ вылетает и удаляется ярлык что делать ?

20.04.2011, 18:41	#6 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	SugarMan, В Безопасном режиме попробуйте его выполнить. Такой лог сделайте http://pchelpforum.ru/showpost.php?p=206554&postcount=5

20.04.2011, 19:08	#7 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	Вот ссылка на файл лога http://webfile.ru/5275221 , выполненный в безопасном режиме. Теперь мне нужно проделывать то, что говорили ранее ?

20.04.2011, 21:40	#9 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	http://webfile.ru/5275589 вот лог

20.04.2011, 22:56	#11 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	http://webfile.ru/5275752

20.04.2011, 23:58	#12 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	SugarMan, Пуск--ВЫполнить--regedit Идите по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотрите параметр Userinit он должен иметь вид C:\Windows\system32\userinit.exe,(запятая в конце обязательна). Если он другой имеет вид то поправьте. Файлы которые в нем были указаны удалите вручную. (КРОМЕ ]C:\Windows\system32\userinit.exe )этот файл нетрогайте.

21.04.2011, 00:37	#13 (ссылка)
SugarMan Новичок Регистрация: 20.04.2011 Сообщений: 7 Репутация: 0	удалить ли адреса в файле юзеринит или искать сами файлы?

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads