Trojan.Win32.Inject.bkiu блокирует часть сайтов и просит номер мобильного. [Trojan.Win32.Cidox.snm ]

[Lostgirl]

Проблема та же, что и у многих...
Троян, который блокирует сайты, переадресует их и просит вписать номер мобильного. Прочитала, как надо делать логи с помощью AVZ и Hijack, прикрепляю.
Очень надеюсь на вашу помощь!!!

[Info_bot]

Уважаемый(ая) Lostgirl, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Windows\System32\drivers\pctplsg.sys','');
 QuarantineFile('C:\Windows\system32\efnxiye.dll','');
 DeleteFile('C:\Windows\system32\efnxiye.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.

Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

[Lostgirl]

Доброй ночи!
Спасибо большое за помощь!
Файлы по крайсной ссылке отправила. Сюда прикладываю новые логи.
Буду делать обновления после перезагрузки)

- - - Добавлено - - -

Прошу прощения, в RSIT был поставлен "1 месяц", сейчас поставила "3 месяца", прикрепляю новые логи.

- - - Добавлено - - -

Всё заработало, вируса нет! Спасибо огромное!!! ))

[Nikkollo]

Хмм... Еще почистим немного...
Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

O20 - AppInit_DLLs: C:\Windows\system32\efnxiye.dll

Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.

[Lostgirl]

Извините, что пропала, суматоха предновогодняя..)

Почистила этот пункт, прикладываю лог.

Единственное, сегодня снова начал глючить Flash Player, обновила его по той же ссылке, что мне предложил предыдущий скан уязвимостей от AVZ.
Ещё раз выполнила скрипт на поиск уязвимостей - ничего не нашёл.

[Techno]

Почистила этот пункт, прикладываю лог.

Не пофиксился... hijackthis запускали от имени администратора?

Стартовую страницу в браузере сами такую поставили?

Код:

http://searchfunmoods.com

[Lostgirl]

Да, действительно, не фиксится. Ещё несколько раз попробовала (от имени Администратора, конечно же) - остаётся и не исчезает.
Стартовую такую не ставила. Обычно у меня yandex.

[Nikkollo]

Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCzy0D0B0FtBzy0D0AyEzzzy0EyCtN0D0Tzu0CtAtCtDtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1962522938

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
end.

Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.

[Lostgirl]

Пофиксила, выполнила скрипт, сделала лог, прикладываю.

Из проблем, которые волнуют на данный момент - это Flash Player, который постоянно валится в браузере (появляется окно, где можно выбрать: отладить, отправить отчёт или закрыть программу), и приходится заново загружать его с сайта и устанавливать.

[Techno]

- Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: C:\Windows\system32\efnxiye.dll

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

ПОвторите hijackthis.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\efnxiye.dll - Trojan.Win32.Cidox.snm ( DrWEB: Trojan.Mayachok.17994, BitDefender: Gen:Variant.Kazy.117219, AVAST4: Win32:Downloader-RWX [Trj] )