Неубиваемый баннер в IE8 и Firefox (Trojan.Win32.Ddox.ci)

[Aleksandra]

Не закрывая браузеры, сделайте такой лог http://virusinfo.info/showthread.php?t=78057

[buh04]

Aleksandra, не получается запустить vba32. синий экран, вызванный lt3q1eju.sys при включенных экранах и фв авиры и pgkj0wy3.sys при отключенных (если правильно понял - эти файлы от VBA32)

[Aleksandra]

Лог делали в режиме ordinary? Антивирус отключали?

[buh04]

до режима и до лога я не дошел. после вопроса Would you like to run Vba32 Antirootkit on dedicated desktop with advanced security features on (recommended option)? отвечая и Нет и Да, комп умирает...

[Aleksandra]

Эту сборку попробуйте.

pass: 123

[buh04]

стал наблюдать за фв авиры...
в момент появления банера последняя проверенная ссылка была:
http://qocgle.com/loPtfdn3dSasoicn/js.php?t=r&tt=brw
когда нажал на "обновление" было вот что:
http://213.133.103.217/bt_pdfn3skxle...2Fupdate%2Ejpg

Добавлено через 8 минут

Aleksandra, аналогично - синий экран в то же время...
не может это быть из-за авиры, хоть и с отключенными экранами и фв? может быть ее совсем удалить?

[Aleksandra]

может быть ее совсем удалить?

Попробуйте...

[buh04]

нет, не дружит со мной эта vba32... снес авиру, перегрузил - синий экран на том же месте... пробовал даже safe mode - то же самое...

почитал соседние ветки - у всех вирусы как вирусы - лечатся легким движением... а тут... как-то обидно даже...

[Aleksandra]

Сделайте лог RSIT.

[buh04]

сделал

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Mozilla Firefox\update.exe','');
 QuarantineFile('C:\Users\OLGAN~1\AppData\Local\Temp\0.9868431169816121.exe','');
 DeleteFile('C:\Users\OLGAN~1\AppData\Local\Temp\0.9868431169816121.exe');
 DeleteFile('C:\Program Files\Mozilla Firefox\update.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=103946

[buh04]

сейчас сделаю, но эти атавизмы (остались разрешения для файрволла) от прошлых инфекций - я вручную убрал эти ключи из реестра, а файлов таких уже нет.

[Aleksandra]

Скорее всего так и есть, но кто знает...

[buh04]

да, в карантине пусто, по ссылке выдается Ошибка загрузки. Данный файл уже был загружен

Добавлено через 6 часов 0 минут

установил в файрволле авиры блокировку всех исходящих и входящих пакетов с двух ip - 213.133.103.217 и 213.133.103.221. банер пока не появляется...
авира сообщает о блокировке пакетов... но это наверно не совсем то решение...

[buh04]

так и не нашел нормальное решение проблемы...
банер не выскакивает, но инет тормозит... наверно от того, что браузеры постоянно пытаются залезть на qocgle.com...
пробовал запускать другие "лечебные" проги, рекомендуемые в соседних ветках.
Combofix вызывает синий экран BAD_POOL_HEADER
Gmer запустился... посмотрите, кто разбирается, пожалуйста лог, может всплывет что...

[thyrex]

c:\windows\system32\WS2_32.dll запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[buh04]

Решил проблему благодаря совету gjf в соседней ветке путем восстановления загрузочного сектора. Хотя насколько я понял, утилита от Касперского теперь тоже лечит эту заразу.
Спасибо всем за участие в решении проблемы!