Показано с 1 по 10 из 10.

Trojan.Win32.Inject.aohy (заявка № 100087)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2011
    Сообщений
    8
    Вес репутации
    48

    Exclamation Trojan.Win32.Inject.aohy

    добрый день!

    тот самый Trojan.Win32.Inject.aohy успешно влез в систему

    CureIt - нет доступа к сайту

    AVP ничего не находит, только подозревает (хотя вирус вроде старый, мутирует что-ли?)

    AVZ тоже подозревает, но как-то вяло.

    если не смогу прикрепить файлы - не ругайтесь, инет тупит страшно
    повторю попытку отдельно

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2011
    Сообщений
    8
    Вес репутации
    48
    Спасибо за напоминание,
    но все штатные инструменты прикрепления файлов - попросту не работали из-за вируса - "ошибка на странице" и никакой реакции ни на кнопки ни на ссылки.
    кроме того - залогиниться на форум можно было только в первые секунды после перезагрузки компа и запуска IE (вероятно пока троян устанавливал соединение с кем-то или чем-то)
    все попытки залогиниться после - бесполезны
    Более того - при введении в поле логина и пароля при нажатии "войти" - пароль стирался и происходила перезагрузка страницы - вот такое интересное поведение было заражённого эксплорера. Причем ИЕ ещё позволял что-то сделать и грузил страницы, а вот Хром - вообще не грузил сайты

    Собственно сейчас вирус убит в ручном режиме (после скаирования подозрения были, но не будучи специалистом решил подстраховаться на форуме, вот и помучился) благодаря рецепту, изложенному в этой теме - "Решение: Trojan.Win32.Inject.aohy"
    http://virusinfo.info/showthread.php?t=98923

    Сейчас вроде всё работает

    вот логи до лечения

  5. #4
    Junior Member Репутация
    Регистрация
    30.03.2011
    Сообщений
    8
    Вес репутации
    48
    вот логи ХайДжека до лечения и после
    вирус в строке O20 - AppInit_DLLs: C:\WINDOWS\system32\stywpbe.dll

    сам файл вируса - в дополнение к советам из вышеуказанной темы - вручную не удаляется, но переименовывается

    посмотрите опытным взглядом, может что-то ещё сидит?
    AVP хоть ничего и не нашёл, но подозревал штук 6 dll

    пс.Oops! Google Chrome could not connect to www.freedrweb.com - по прежнему сайт Др.Веба не доступен из любого эксплорера
    Последний раз редактировалось global; 31.03.2011 в 03:38.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: agihelper.AGUtils - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - mscoree.dll (file missing)
    O2 - BHO: agihelper.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\stywpbe.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
     DeleteFile('C:\WINDOWS\system32\chknt32.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\stywpbe.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  7. #6
    Junior Member Репутация
    Регистрация
    30.03.2011
    Сообщений
    8
    Вес репутации
    48
    добрый вечер!
    доделал всё что требовалось.
    1. пофиксено - мне тоже не нравилось с самого начала
    2. скрипт выполнен
    3. логи выложены
    4. карантин отправлен по ссылке
    Файл сохранён как 110401_140531_quarantine_4d95dbab4aea4.zip
    Размер файла 30338
    MD5 87de1144aec15a292231a50865d83548

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
    c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    30.03.2011
    Сообщений
    8
    Вес репутации
    48
    я не понял - удалить всё, а вот это -
    Цитата Сообщение от thyrex Посмотреть сообщение
    c:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
    c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
    оставить?
    нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
    Или снять выделение со всего и удалить именно эти две длл?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от global Посмотреть сообщение
    я не понял - удалить всё, а вот это - оставить?
    Именно так
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\stywpbe.dll - Trojan.Win32.Zapchast.few ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5813226, AVAST4: Win32:MalOb-HG [Cryp] )


  • Уважаемый(ая) global, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Inject.aohy
      От Nozki в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.03.2011, 22:54
    2. Trojan.Win32.Inject.aohy
      От croo в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.03.2011, 21:27
    3. Trojan.Win32.Inject.aohy
      От Chega в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.03.2011, 19:06
    4. Trojan.Win32.Inject.aohy (2)
      От TechD в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.02.2011, 21:43
    5. trojan.win32.inject.aohy
      От Роман 68 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.02.2011, 19:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01430 seconds with 19 queries