 |
|
|
26.05.2011, 20:27
|
#1 (ссылка) |
|
Новичок
Регистрация: 26.05.2011
Сообщений: 5
Репутация: 0
|
вирус! Trojan.Win32.Ddox.ci
Прошу помочь избавиться от Trojan.Win32.Ddox.ci. В обоих браузерах выскакивает сообщение о заражении и предлагается платное обновление.
Логи в AVZ сделал. Вот ссылка http://exfile.ru/179426. |
|
|
26.05.2011, 21:13
|
#2 (ссылка) |
|
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
serz, отключите восстановление системы и антивирус!
Выполните скрипт в AVZ: Код:
Function DelAppInit_DLLsByFileName(Name : string; AName : boolean = false) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
If AName then while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos(' ', ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1))) > 0 then
Temp := Temp + ExtractFilePath(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))) + StringReplace(ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))), ' ', ',') else
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end else Temp := Temp_AppInit_DLLs;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
DeleteFile('c:\windows\system32\servm32.exe');
DeleteFile('C:\WINDOWS\system32\ybccdse.dll');
DelAppInit_DLLsByFileName('C:\WINDOWS\system32\ybccdse.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Выполните в AVZ стандартный скрипт № 2. Файл virusinfo_syscure.zip из папки LOG выложите нафайлообменнике и дайте ссылку на него. |
|
|
|
27.05.2011, 20:22
|
#3 (ссылка) |
|
Новичок
Регистрация: 26.05.2011
Сообщений: 5
Репутация: 0
|
Большое спасибо за оперативную помощь, уважаемый Vvvyg.
Скрипт выполнил. Ссылка на контрольный лог: http://exfile.ru/179672 |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Помогите убрать вирус Trojan.Win32.Ddox.ci | Vester | Безопасность | 15 | 20.10.2011 07:17 |
| trojan.win32.ddox.ci помогите удалить вирус KB2735122 – Обновление безопасности | Pryncessa87 | Безопасность | 73 | 26.07.2011 00:01 |
| Помогите удалить вирус Trojan.Win32.Ddox.ci | Петр90 | Безопасность | 393 | 24.07.2011 02:00 |
| вирус Trojan.Win32.Ddox.ci _логи | oldministrator | Безопасность | 11 | 30.06.2011 14:54 |
| вирус Trojan.Win32.Ddox.ci | irinka_10 | Безопасность | 3 | 21.06.2011 19:52 |
| Помогите!!! Вирус Trojan.Win32.Ddox.ci | DoCMAA | Безопасность | 9 | 23.05.2011 22:57 |
| Вирус - Trojan.Win32.Ddox.ci - помогите!!! | kiberus | Безопасность | 1 | 05.05.2011 13:06 |
| Вирус Trojan.Win32.Ddox.ci? | Николай1995 | Безопасность | 6 | 28.04.2011 20:34 |
| Вирус Trojan.Win32.Ddox.ci | BenGun | Безопасность | 3 | 27.04.2011 17:32 |
| Помогите, пожалуйста, убрать вирус Trojan.Win32.Ddox.ci | Тинока | Безопасность | 1 | 21.04.2011 17:54 |
| Подцепил вирус Trojan.Win32.Ddox.ci прошу помощи | PAV'lik | Безопасность | 4 | 20.04.2011 20:41 |
| Подцепил вирус в Мозиле Trojan.Win32.Ddox.ci | troy | Безопасность | 4 | 18.04.2011 23:59 |
