Показано с 1 по 20 из 20.

Trojan.Win32.Inject.aohy (заявка № 94486)

  1. #1
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49

    Thumbs up Trojan.Win32.Inject.aohy

    Добрый день!
    Столкнулся с проблемой "Обновите браузер за деньги"(Ваш компьютер заражен Trojan.Win32.Inject.aohy, обновите браузер на update.mozilla.org, update.microsoft.com в зависимости от браузера, внешний вид "вживления в страницу" практически одинаковый).
    Прогнал систему "по правилам", подскажите, что делать дальше?
    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Давайте для полного боекомплекта сделаем еще лог Gmer
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Запустил Gmer.
    После Экспресс-анализа говорит, что "обнаружена модификация системы" и предлагает сделать полный анализ.
    Нажимаю ОК - проверяет, а затем вылетает с критической ошибкой, в строке статуса надпись \Device\HarddiskVolume4.
    Та же история и если отменить проверку, и запустить после настройки параметров.
    Прикрепил лог быстрой проверки.

  5. #4
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Перспективы есть?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Однозначно есть! Ответ дадут свободные хелперы (или я как только закончу работу)
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Замечательно! Спасибо!

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Все же нужен лог полного сканирования, а не экспресс-проверка.
    Выгружали ли Вы антивирус\фаервол и прочие программы защиты при запуске gmer? Если нет, то выгрузите!
    Нажмите кнопку Scan и переделайте лог
    Последний раз редактировалось thyrex; 04.01.2011 в 19:23.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Да, видимо Касперский блокировал выполнение проверки. Отключил и все проверилось. Прикрепляю лог проверки

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
    Код:
    gmer.exe -del service tbjgslwf
    gmer.exe -del file "C:\WINDOWS\system32\cfgnm.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tbjgslwf"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tbjgslwf"
    gmer.exe -reboot
    И запустите cleanup.bat
    ВНИМАНИЕ: Компьютер перезагрузится!

    Сделайте новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Спасибо большое, вроде помогло, по крайней мере быстрая проверка GMER ничего не показывает(лог прикрепил).
    Но смущает следующее:
    1. Во время запуска bat-файла несколько раз выскакивало сообщение "Неверный идентификатор: tbjgslwf"
    2. В процессах до сих пор висит plugin-container.exe, который возникает одновременно с запуском FireFox. Раньше его присутствия я не замечал(может просто не обращал внимания). При первом запуске FF все грузится очень медленно, иногда с ошибками(страницы не открываются), когда закрываю FF - процесс (firefox.exe) продолжает висеть, удаляю(контейнер тоже пропадает), запускаю мозиллу - и вроде все работает нормально. Версия мозиллы - 3.6.13
    Последний раз редактировалось Tihom; 05.01.2011 в 00:56. Причина: лог проверки не прикрепился

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Последний лог - это полное сканирование gmer?
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Нет, быстрая.
    Полная в прошлый раз заняла у меня более 3 часов) Если необходимо - запущу завтра с утра.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сделайте полное.
    Paula rhei.
    Поддержать проект можно тут

  15. #14
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Лог полного сканирования прикрепил, но причина обращения актуальна - опять всплыло это сообщение об "обновлении". И IE 8 практически не работает - страницы загружает с пятой попытки
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\zrggkmd.dll','');
     DeleteFile('C:\WINDOWS\system32\zrggkmd.dll');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=94486).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Карантин отправил, логи проверок прикрепляю
    Вложения Вложения

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Вроде да. Глюки, которые были раньше, пока не проявляются.
    Заодно и компьютер стал грузиться быстрее(с момента загрузки рабочего стола до момента нормального запуска приложений).
    Спасибо большое, пару дней понаблюдаю, если что-нибудь всплывет - отпишусь.

  20. #19
    Junior Member Репутация
    Регистрация
    04.01.2011
    Сообщений
    15
    Вес репутации
    49
    Все работает отлично!
    Спасибо большое!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 7
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\zrggkmd.dll - Trojan-Downloader.Win32.Injecter.fit ( DrWEB: Trojan.Inject.18957, BitDefender: Trojan.Generic.KDV.105690, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Tihom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Inject.aohy
      От Nozki в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.03.2011, 22:54
    2. Trojan.Win32.Inject.aohy
      От croo в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.03.2011, 21:27
    3. Trojan.Win32.Inject.aohy
      От Chega в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.03.2011, 19:06
    4. Trojan.Win32.Inject.aohy (2)
      От TechD в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.02.2011, 21:43
    5. trojan.win32.inject.aohy
      От Роман 68 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.02.2011, 19:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00609 seconds with 20 queries