-
Junior Member
- Вес репутации
- 48
Trojan.Win32.Inject.aohy
добрый день!
тот самый Trojan.Win32.Inject.aohy успешно влез в систему
CureIt - нет доступа к сайту
AVP ничего не находит, только подозревает (хотя вирус вроде старый, мутирует что-ли?)
AVZ тоже подозревает, но как-то вяло.
если не смогу прикрепить файлы - не ругайтесь, инет тупит страшно
повторю попытку отдельно
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Спасибо за напоминание,
но все штатные инструменты прикрепления файлов - попросту не работали из-за вируса - "ошибка на странице" и никакой реакции ни на кнопки ни на ссылки.
кроме того - залогиниться на форум можно было только в первые секунды после перезагрузки компа и запуска IE (вероятно пока троян устанавливал соединение с кем-то или чем-то)
все попытки залогиниться после - бесполезны
Более того - при введении в поле логина и пароля при нажатии "войти" - пароль стирался и происходила перезагрузка страницы - вот такое интересное поведение было заражённого эксплорера. Причем ИЕ ещё позволял что-то сделать и грузил страницы, а вот Хром - вообще не грузил сайты
Собственно сейчас вирус убит в ручном режиме (после скаирования подозрения были, но не будучи специалистом решил подстраховаться на форуме, вот и помучился) благодаря рецепту, изложенному в этой теме - "Решение: Trojan.Win32.Inject.aohy"
http://virusinfo.info/showthread.php?t=98923
Сейчас вроде всё работает
вот логи до лечения
-
Junior Member
- Вес репутации
- 48
вот логи ХайДжека до лечения и после
вирус в строке O20 - AppInit_DLLs: C:\WINDOWS\system32\stywpbe.dll
сам файл вируса - в дополнение к советам из вышеуказанной темы - вручную не удаляется, но переименовывается
посмотрите опытным взглядом, может что-то ещё сидит?
AVP хоть ничего и не нашёл, но подозревал штук 6 dll
пс.Oops! Google Chrome could not connect to www.freedrweb.com - по прежнему сайт Др.Веба не доступен из любого эксплорера
Последний раз редактировалось global; 31.03.2011 в 03:38.
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: agihelper.AGUtils - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - mscoree.dll (file missing)
O2 - BHO: agihelper.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\stywpbe.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\stywpbe.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 48
добрый вечер!
доделал всё что требовалось.
1. пофиксено - мне тоже не нравилось с самого начала
2. скрипт выполнен
3. логи выложены
4. карантин отправлен по ссылке
Файл сохранён как 110401_140531_quarantine_4d95dbab4aea4.zip
Размер файла 30338
MD5 87de1144aec15a292231a50865d83548
-
Удалите в МВАМ все, кроме
Код:
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
я не понял - удалить всё, а вот это -
Сообщение от
thyrex
c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
оставить?
нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
Или снять выделение со всего и удалить именно эти две длл?
-
Сообщение от
global
я не понял - удалить всё, а вот это - оставить?
Именно так
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\stywpbe.dll - Trojan.Win32.Zapchast.few ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5813226, AVAST4: Win32:MalOb-HG [Cryp] )
-