Банер в Firefox, страницы открываются в виде HTML кода. Trojan.Win32.Ddox.ci.

Nikita96 · 11.07.2011, 12:30

Доброго времени суток! При работе в браузере Firefox появляется банер следующего содержания:

В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Ddox.ci
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

Многие интернет страницы открываются в виде HTML кода.
Так же возникают проблемы с авторизацией "Вконтакте". При попытки авторизации появляется следующее сообщение:

Уважаемый пользователь!

В связи с участившимися случаями кражи личных данных, мы вынуждены ввести обязательное подтверждение принадлежности аккаунта. Это позволит полностью исключить возможность утраты личной страницы «ВКонтакте».

Ваш аккаунт будет привязан к Вашему мобильному телефону. И в случае возникших проблем с доступом в аккаунт, Вы легко сможете восстановить его с помощью мобильного телефона.
Внимание, пользователям уже подтвердившим ранее свой номер телефона необходимо пройти повторное подтверждение. Это необходимая мера безопасности. Мы хотим полностью исключить не только возможность утраты страниц, но и случаи рассылки спама от имени пользователей.

Ссылки на логи AVZ и HiJackThis:
http://exfile.ru/192211
http://exfile.ru/192213

maksimog · 11.07.2011, 12:39

В программе HijackThis поставить галочки напротив

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\a821f542.exe,C:\WINDOWS\system32\fae6cbf7.exe,C:\WINDOWS\system32\6c913926.exe,
O2 - BHO: Mario Forever Toolbar Helper - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing)
O2 - BHO: MS Media Module - {F66EBBD4-AACA-8D45-9E5A-B19D72D5CA07} - %SYSTEMDRIVE%\SysFiles\agtGmfYEcvFRt3.dll (file missing)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
O4 - HKLM\..\Run: [XP-65690904] C:\WINDOWS\system32\XP-65690904.EXE
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - S-1-5-18 Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-65690904.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-65690904.EXE (User 'Default user')
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

И нажать Fix Checked

Выполните скрипт в AVZ:
Как выполнить написано тут http://pchelpforum.ru/f26/t24207/

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\a821f542.exe','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-65690904.EXE','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\1.CTR-HOME\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\stjlsal.dll','');
 DeleteFile('C:\WINDOWS\system32\stjlsal.dll');
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('C:\Documents and Settings\1.CTR-HOME\ctfmon.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\WINDOWS\system32\XP-65690904.EXE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-65690904');
 DeleteFile('C:\WINDOWS\system32\a821f542.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Появится папка Quarantine, поместить ее в архив установить пароль virus и прислать сюда sendvirus2011@gmail.com

Спасибо

11.07.2011, 12:30	#1 (ссылка)
Nikita96 Новичок Регистрация: 11.07.2011 Сообщений: 1 Репутация: 0	Банер в Firefox, страницы открываются в виде HTML кода. Trojan.Win32.Ddox.ci. Доброго времени суток! При работе в браузере Firefox появляется банер следующего содержания: В системе обнаружен вирус. Использование интернета нежелательно. Браузер зафиксировал попытки внесения изменений в его работу. Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера. Trojan.Win32.Ddox.ci – Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ Для безопасного продолжения работы необходимо обновить браузер KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)KB1971384 – Обновление баз фишинговых сайтов (12.11.2010) Многие интернет страницы открываются в виде HTML кода. Так же возникают проблемы с авторизацией "Вконтакте". При попытки авторизации появляется следующее сообщение: Уважаемый пользователь! В связи с участившимися случаями кражи личных данных, мы вынуждены ввести обязательное подтверждение принадлежности аккаунта. Это позволит полностью исключить возможность утраты личной страницы «ВКонтакте». Ваш аккаунт будет привязан к Вашему мобильному телефону. И в случае возникших проблем с доступом в аккаунт, Вы легко сможете восстановить его с помощью мобильного телефона. Внимание, пользователям уже подтвердившим ранее свой номер телефона необходимо пройти повторное подтверждение. Это необходимая мера безопасности. Мы хотим полностью исключить не только возможность утраты страниц, но и случаи рассылки спама от имени пользователей. Ссылки на логи AVZ и HiJackThis: http://exfile.ru/192211 http://exfile.ru/192213

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Trojan.Win32.Ddox.ci или Trojan.Win32.Inject.aohy Help me please!	Антон70	Безопасность	20	23.09.2011 20:58
Многие страницы открываются в виде кодов.	shedevralen	Безопасность	15	26.07.2011 22:25
Помогите! Trojan.win32.Ddox.ci, Trojan.Win32.ExpireT	geronimo	Безопасность	3	01.07.2011 22:35
Вирус "Использование интернета нежелательно" + страницы открываются в виде кода	mokropuz	Безопасность	4	01.07.2011 11:12
Страницы браузера открываются в виде кода, всплывающее сообщение о трояне	Igor_Kolobov	Безопасность	7	30.06.2011 08:55
Trojan.Win32.Ddox.ci, порно банер в браузерах	addpromo	Безопасность	23	28.06.2011 17:02
Помогите убрать баннер обновления Firefox Trojan.Win32.Ddox.ci	kukuruznik	Безопасность	4	28.06.2011 15:27
Не открываются сайты, подозрения на вирус Trojan.Win32.Ddox.ci.ПОМОГИТЕ!!	Irene18	Безопасность	0	27.06.2011 13:57
Помогите с Trojan.Win32.Ddox.ci и Trojan. Mayachok.1	Taifun1	Безопасность	2	23.06.2011 14:38
страницы в мазиле открываются в текстовом виде	kenga_ru	Безопасность	3	06.04.2011 20:54
Помогите убрать банер Trojan.Win32.Inject.aohy	PPCfull	Безопасность	1	13.03.2011 18:43
Вместо кода в виде английских букв в окне нет ничего	val	Интернет и сети	19	01.02.2010 19:12

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads