Trojan.Win32.Ddox.ci

IreneV · 29.07.2011, 11:31

при входе в интернет либо выдает сообщение о том , что нужно переустановить IE, либо перенаправляет на zoneedit.com, либо пишет что на Ростелеком большая загрузка и нужно выслать номер мобильного для якобы предоставления бесплатного канала . Также требует номер мобильного для регистрации при заходе на Youtube

http://exfile.ru/download/197843
заранее спасибо

Vvvyg · 29.07.2011, 11:48

IreneV, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":

Код:

begin
SetAVZPMStatus(False);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\jwmqiti.dll');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Дайте ссылку на файл virusinfo_cure.zip из папки LOG.
Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.
Сделайте лог HijackThis.

IreneV · 01.08.2011, 21:45

Извините , что так долго не отвечала. Меня не было дома на выходных
сделала скрипт в AVZ , компьютер перезагрулзился
Ссылки:
http://exfile.ru/198653 - virusinfo_cure.zip
http://exfile.ru/198655 - virusinfo_syscheck.zip
http://exfile.ru/198656 - hijackthis.log

safety · 01.08.2011, 22:03

Цитата:

C:\WINDOWS\i386\svcpack\clean.exe

этот файл проверьте на ВирусТотал
www.virustotal.com

IreneV · 01.08.2011, 22:10

вот что ответил

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: eb25de2eb532ef989db61646610615bf
Date first seen: 2008-08-16 06:16:05 (UTC)
Date last seen: 2009-04-25 05:06:31 (UTC)
Detection ratio: 25/39

What do you wish to do?

что делать дальше?

safety · 01.08.2011, 22:16

попросите его (ВТ) еще раз проанализировать

---------- Добавлено в 00:14 ---------- Предыдущее сообщение было написано в 00:13 ----------

похоже, вирусяка
http://www.virustotal.com/file-scan/...b87-1240628791

---------- Добавлено в 00:16 ---------- Предыдущее сообщение было написано в 00:14 ----------

Выполните скрипт в AVZ:
Как выполнить скрипт http://pchelpforum.ru/f26/t24207/

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\i386\svcpack\clean.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

далее выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Выполните в AVZ Стандартный скрипт 2 и добавить новый архив virusinfo_syscheck.zip.

Файл quarantine.zip из папки AVZ пришлите в почту sendvirus2011@gmail.com

Vvvyg · 01.08.2011, 22:23

IreneV, учтите, что поддержка Windows XP с SP2 завершена Microsoft 13 июля 2010 г., поэтому получать обновления системы безопасности через Windows Update Вы уже давно не можете. Windows XP SP2 крайне подвержена взлому и заражению вирусами, причем и антивирус в некоторых случаях может не помочь.
Установите сервис-пак 3 к Windows XP, но учтите, что если система пиратская, с большой долей вероятности после его установки появится запрос на активацию системы и будут проблемы со входом в учётную запись.
Установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный компонент Windows. Вслед за этим необходимо установить и все последующие обновления безопасности, через Microsoft Update или оффлайновым пакетом отсюда.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

IreneV · 01.08.2011, 22:33

вот результат

вот так более наглядно
http://exfile.ru/198660

Antivirus Version Last Update Result
AhnLab-V3 2011.08.01.00 2011.07.31 Packed/Upack
AntiVir 7.11.12.177 2011.08.01 TR/Agent.127767.A
Antiy-AVL 2.0.3.7 2011.08.01 -
Avast 4.8.1351.0 2011.08.01 -
Avast5 5.0.677.0 2011.08.01 -
AVG 10.0.0.1190 2011.08.01 Suspicion: unknown virus
BitDefender 7.2 2011.08.01 Trojan.Generic.1325258
CAT-QuickHeal 11.00 2011.08.01 (Suspicious) - DNAScan
ClamAV 0.97.0.0 2011.08.01 PUA.Packed.UPack-2
Commtouch 5.3.2.6 2011.08.01 W32/Heuristic-210!Eldorado
Comodo 9591 2011.08.01 Packed.Win32.MUPACK.~KW
DrWeb 5.0.2.03300 2011.08.01 -
Emsisoft 5.1.0.8 2011.08.01 -
eSafe 7.0.17.0 2011.08.01 Suspicious File
eTrust-Vet 36.1.8475 2011.08.01 -
F-Prot 4.6.2.117 2011.08.01 File is damaged
F-Secure 9.0.16440.0 2011.08.01 Trojan.Generic.1325258
Fortinet 4.2.257.0 2011.07.31 -
GData 22 2011.08.01 Trojan.Generic.1325258
Ikarus T3.1.1.104.0 2011.08.01 -
Jiangmin 13.0.900 2011.08.01 Trojan/Refroso.fec
K7AntiVirus 9.109.4969 2011.08.01 -
Kaspersky 9.0.0.837 2011.08.01 -
McAfee 5.400.0.1158 2011.08.01 Generic.dx
McAfee-GW-Edition 2010.1D 2011.08.01 Heuristic.LooksLike.Win32.Suspicious.C
Microsoft 1.7104 2011.08.01 -
NOD32 6341 2011.08.01 probably a variant of Win32/Agent.JKGNFWP
Norman 6.07.10 2011.08.01 W32/Packed_Upack.A
nProtect 2011-08-01.03 2011.08.01 -
Panda 10.0.3.5 2011.08.01 Trj/Pupack.A
PCTools 8.0.0.5 2011.08.01 Trojan-PSW.Gampass
Prevx 3.0 2011.08.01 -
Rising 23.69.00.03 2011.08.01 -
Sophos 4.67.0 2011.08.01 Sus/ComPack-C
SUPERAntiSpyware 4.40.0.1006 2011.08.01 -
Symantec 20111.1.0.186 2011.08.01 Infostealer.Gampass
TheHacker 6.7.0.1.267 2011.08.01 W32/Behav-Heuristic-060
TrendMicro 9.200.0.1012 2011.08.01 Cryp_Xed-12
TrendMicro-HouseCall 9.200.0.1012 2011.08.01 Cryp_Xed-12
VBA32 3.12.16.4 2011.08.01 -
VIPRE 10031 2011.08.01 Trojan.Win32.Packer.Upack0.3.9 (ep)
ViRobot 2011.8.1.4599 2011.08.01 -
VirusBuster 14.0.148.0 2011.08.01 Packed/Upack
Additional informationShow all
MD5 : eb25de2eb532ef989db61646610615bf
SHA1 : 97aa92f21ac54b58b83b59b774df6b5c5a6f5178
SHA256: 2ab59f855dc140a07a29dec1b92411a8e0aee50c60502e39df 94a0484be68b87

VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments?

---------- Добавлено в 21:33 ---------- Предыдущее сообщение было написано в 21:25 ----------

похоже, вирусяка
http://www.virustotal.com/file-scan/...b87-1240628791

у меня не открывается сайт

safety · 01.08.2011, 22:43

Код:

http://www.virustotal.com/file-scan/report.html?id=2ab59f855dc140a07a29dec1b92411a8e0aee50c60502e39df94a0484be68b87-1240628791

IreneV · 02.08.2011, 00:58

safety
http://exfile.ru/198688 - новый архив virusinfo_syscheck.zip.
quarantine.zip на почту отправила

Vvvyg
система скорее всего пиратская, так что если я установлю сервис пак 3 не будет ли у меня больших сложностей с работой, стоит ли его вообще устанавливать?
кстати avz_log.txt предлагает его установить
IE 8 у меня установлено
обновления через Microsoft Update сделала

---------- Добавлено в 23:58 ---------- Предыдущее сообщение было написано в 23:29 ----------

avz_log.txt предлагает удалить файл C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll , а я его по указанному адресу не нахожу

Vvvyg · 02.08.2011, 01:18

IreneV, после установки SP3 могут быть не просто сложности, а полная невозможность работы. Так что, если не знаете, как эту проблему решать - лучше не надо ставить.
А authplay.dll скриптом уже удалился.

IreneV · 02.08.2011, 10:18

значит мою проблему можно назвать решенной, нужно оставить все как есть и больше ничего делать не надо?

Vvvyg · 02.08.2011, 10:23

IreneV, Обновлять систему до SP3, а лучше установить 7-ку с точки зрения безопасности было бы оптимально. Но если Вам некому помочь в этом в реале - пусть всё так и будет.

IreneV · 02.08.2011, 10:28

Большое Вам спасибо за оказанную помощь

IreneV · 03.08.2011, 16:41

скажите, а есть ли какой-нибудь способ проверить какая система установлена на компе (пиратская или нет)

29.07.2011, 11:31	#1 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	Trojan.Win32.Ddox.ci при входе в интернет либо выдает сообщение о том , что нужно переустановить IE, либо перенаправляет на zoneedit.com, либо пишет что на Ростелеком большая загрузка и нужно выслать номер мобильного для якобы предоставления бесплатного канала . Также требует номер мобильного для регистрации при заходе на Youtube http://exfile.ru/download/197843 заранее спасибо

29.07.2011, 11:48	#2 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	IreneV, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить": Код: begin SetAVZPMStatus(False); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\jwmqiti.dll'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится! Дайте ссылку на файл virusinfo_cure.zip из папки LOG. Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip. Сделайте лог HijackThis.

01.08.2011, 22:16	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	попросите его (ВТ) еще раз проанализировать ---------- Добавлено в 00:14 ---------- Предыдущее сообщение было написано в 00:13 ---------- похоже, вирусяка http://www.virustotal.com/file-scan/...b87-1240628791 ---------- Добавлено в 00:16 ---------- Предыдущее сообщение было написано в 00:14 ---------- Выполните скрипт в AVZ: Как выполнить скрипт http://pchelpforum.ru/f26/t24207/ Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\WINDOWS\i386\svcpack\clean.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. далее выполните скрипт в AVZ: Код: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Выполните в AVZ Стандартный скрипт 2 и добавить новый архив virusinfo_syscheck.zip. Файл quarantine.zip из папки AVZ пришлите в почту sendvirus2011@gmail.com

01.08.2011, 22:23	#7 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	IreneV, учтите, что поддержка Windows XP с SP2 завершена Microsoft 13 июля 2010 г., поэтому получать обновления системы безопасности через Windows Update Вы уже давно не можете. Windows XP SP2 крайне подвержена взлому и заражению вирусами, причем и антивирус в некоторых случаях может не помочь. Установите сервис-пак 3 к Windows XP, но учтите, что если система пиратская, с большой долей вероятности после его установки появится запрос на активацию системы и будут проблемы со входом в учётную запись. Установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный компонент Windows. Вслед за этим необходимо установить и все последующие обновления безопасности, через Microsoft Update или оффлайновым пакетом отсюда. Выполните скрипт в AVZ при наличии доступа в интернет: Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

01.08.2011, 22:43	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Код: http://www.virustotal.com/file-scan/report.html?id=2ab59f855dc140a07a29dec1b92411a8e0aee50c60502e39df94a0484be68b87-1240628791

01.08.2011, 21:45	#3 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	Извините , что так долго не отвечала. Меня не было дома на выходных сделала скрипт в AVZ , компьютер перезагрулзился Ссылки: http://exfile.ru/198653 - virusinfo_cure.zip http://exfile.ru/198655 - virusinfo_syscheck.zip http://exfile.ru/198656 - hijackthis.log

01.08.2011, 22:10	#5 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	вот что ответил File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: eb25de2eb532ef989db61646610615bf Date first seen: 2008-08-16 06:16:05 (UTC) Date last seen: 2009-04-25 05:06:31 (UTC) Detection ratio: 25/39 What do you wish to do? что делать дальше?

01.08.2011, 22:33	#8 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	вот результат вот так более наглядно http://exfile.ru/198660 Antivirus Version Last Update Result AhnLab-V3 2011.08.01.00 2011.07.31 Packed/Upack AntiVir 7.11.12.177 2011.08.01 TR/Agent.127767.A Antiy-AVL 2.0.3.7 2011.08.01 - Avast 4.8.1351.0 2011.08.01 - Avast5 5.0.677.0 2011.08.01 - AVG 10.0.0.1190 2011.08.01 Suspicion: unknown virus BitDefender 7.2 2011.08.01 Trojan.Generic.1325258 CAT-QuickHeal 11.00 2011.08.01 (Suspicious) - DNAScan ClamAV 0.97.0.0 2011.08.01 PUA.Packed.UPack-2 Commtouch 5.3.2.6 2011.08.01 W32/Heuristic-210!Eldorado Comodo 9591 2011.08.01 Packed.Win32.MUPACK.~KW DrWeb 5.0.2.03300 2011.08.01 - Emsisoft 5.1.0.8 2011.08.01 - eSafe 7.0.17.0 2011.08.01 Suspicious File eTrust-Vet 36.1.8475 2011.08.01 - F-Prot 4.6.2.117 2011.08.01 File is damaged F-Secure 9.0.16440.0 2011.08.01 Trojan.Generic.1325258 Fortinet 4.2.257.0 2011.07.31 - GData 22 2011.08.01 Trojan.Generic.1325258 Ikarus T3.1.1.104.0 2011.08.01 - Jiangmin 13.0.900 2011.08.01 Trojan/Refroso.fec K7AntiVirus 9.109.4969 2011.08.01 - Kaspersky 9.0.0.837 2011.08.01 - McAfee 5.400.0.1158 2011.08.01 Generic.dx McAfee-GW-Edition 2010.1D 2011.08.01 Heuristic.LooksLike.Win32.Suspicious.C Microsoft 1.7104 2011.08.01 - NOD32 6341 2011.08.01 probably a variant of Win32/Agent.JKGNFWP Norman 6.07.10 2011.08.01 W32/Packed_Upack.A nProtect 2011-08-01.03 2011.08.01 - Panda 10.0.3.5 2011.08.01 Trj/Pupack.A PCTools 8.0.0.5 2011.08.01 Trojan-PSW.Gampass Prevx 3.0 2011.08.01 - Rising 23.69.00.03 2011.08.01 - Sophos 4.67.0 2011.08.01 Sus/ComPack-C SUPERAntiSpyware 4.40.0.1006 2011.08.01 - Symantec 20111.1.0.186 2011.08.01 Infostealer.Gampass TheHacker 6.7.0.1.267 2011.08.01 W32/Behav-Heuristic-060 TrendMicro 9.200.0.1012 2011.08.01 Cryp_Xed-12 TrendMicro-HouseCall 9.200.0.1012 2011.08.01 Cryp_Xed-12 VBA32 3.12.16.4 2011.08.01 - VIPRE 10031 2011.08.01 Trojan.Win32.Packer.Upack0.3.9 (ep) ViRobot 2011.8.1.4599 2011.08.01 - VirusBuster 14.0.148.0 2011.08.01 Packed/Upack Additional informationShow all MD5 : eb25de2eb532ef989db61646610615bf SHA1 : 97aa92f21ac54b58b83b59b774df6b5c5a6f5178 SHA256: 2ab59f855dc140a07a29dec1b92411a8e0aee50c60502e39df 94a0484be68b87 VT Community 0 This file has never been reviewed by any VT Community member. Be the first one to comment on it! VirusTotal Team Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments? ---------- Добавлено в 21:33 ---------- Предыдущее сообщение было написано в 21:25 ---------- похоже, вирусяка http://www.virustotal.com/file-scan/...b87-1240628791 у меня не открывается сайт

02.08.2011, 00:58	#10 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	safety http://exfile.ru/198688 - новый архив virusinfo_syscheck.zip. quarantine.zip на почту отправила Vvvyg система скорее всего пиратская, так что если я установлю сервис пак 3 не будет ли у меня больших сложностей с работой, стоит ли его вообще устанавливать? кстати avz_log.txt предлагает его установить IE 8 у меня установлено обновления через Microsoft Update сделала ---------- Добавлено в 23:58 ---------- Предыдущее сообщение было написано в 23:29 ---------- avz_log.txt предлагает удалить файл C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll , а я его по указанному адресу не нахожу

02.08.2011, 01:18	#11 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	IreneV, после установки SP3 могут быть не просто сложности, а полная невозможность работы. Так что, если не знаете, как эту проблему решать - лучше не надо ставить. А authplay.dll скриптом уже удалился.

02.08.2011, 10:18	#12 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	значит мою проблему можно назвать решенной, нужно оставить все как есть и больше ничего делать не надо?

02.08.2011, 10:23	#13 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	IreneV, Обновлять систему до SP3, а лучше установить 7-ку с точки зрения безопасности было бы оптимально. Но если Вам некому помочь в этом в реале - пусть всё так и будет.

02.08.2011, 10:28	#14 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	Большое Вам спасибо за оказанную помощь

03.08.2011, 16:41	#15 (ссылка)
IreneV Новичок Регистрация: 28.07.2011 Сообщений: 32 Репутация: 0	скажите, а есть ли какой-нибудь способ проверить какая система установлена на компе (пиратская или нет)

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Trojan.Win32.Ddox.ci или Trojan.Win32.Inject.aohy Help me please!	Антон70	Безопасность	20	23.09.2011 20:58
trojan.win32.ddox.ci	Alexey_86	Безопасность	10	18.07.2011 22:51
Trojan.Win32.Ddox.ci	McLaren	Безопасность	4	17.07.2011 14:30
trojan.win32.ddox.ci	pro1ooNoob	Безопасность	7	16.07.2011 14:56
Trojan.Win32.Ddox.ci	Spirit1	Безопасность	6	15.07.2011 16:12
Trojan.Win32.Ddox.ci	cmp-23	Безопасность	6	08.07.2011 20:11
Trojan.Win32.Ddox.ci	AndreyNew	Безопасность	2	02.07.2011 13:44
Помогите! Trojan.win32.Ddox.ci, Trojan.Win32.ExpireT	geronimo	Безопасность	3	01.07.2011 22:35
Help, Trojan.Win32.Ddox.ci	Shark1982	Безопасность	4	01.07.2011 08:54
Trojan.Win32.Ddox.ci	asterelanium	Безопасность	1	01.07.2011 07:20
Помогите с Trojan.Win32.Ddox.ci и Trojan. Mayachok.1	Taifun1	Безопасность	2	23.06.2011 14:38
Помогите с Trojan.Win32.Ddox.ci и Trojan. Mayachok.1	Taifun1	Безопасность	0	21.06.2011 17:15