# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Решение: Trojan.Win32.Inject.aohy

## Ydzero

Всем привет.
На днях подцепил данную заразу, после суток ожесточенной борьбы мне все таки удалось её прибить. И так, хотел бы поделится опытом.

*Предыстория.*
Прогуливаясь по сайтам в поисках сабов, щелкнул по всплывающему окну, пытаясь его закрыть, и тут понеслось.

- редирект, запускается Java приложение (появляется заставка);
- браузер виснет;
- появляется ошибка толи отказа драйвера толи еще чего, не успел рассмотреть;
- система уходит в перезагрузку.

Загружаюсь, лезу в тырнет, вроде все ничего, 1-2 сайта открываются нормально, остальные либо часть кода страницы, либо вообще ничего. И, на раз так 10, выплывает сверху окошко с текстом



> В системе обнаружен вирус. Использование интернета нежелательно.
> Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера.
> Trojan.Win32.Inject.aohy - Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники*ру) и загрузки на зараженный ПК новых вредоносных программ


На кнопке обновить висит ссылка вида *upgrade.XXX.com*, где *XXX* сайт разработчика браузера.

*Описание.*
Собственно, не уверен как эта зараза называется, но пусть будет троян. Как мне кажется, дыра где-то в jave, через нее он и лезет.

В зависимости от браузера есть разные всплывающие окна, но с одним и тем же текстом. Примеры:
*IE*: img845.imageshack.us/f/90720387.jpg
*Opera*: img52.imageshack.us/f/operauf.jpg
*FireFox*: img856.imageshack.us/f/firefox.jpg

Троян создает в папке *system32* файл *X.dll*, где *X* - это 7 символьное произвольное имя, размером 52 КБ, пример, *C:\WINDOWS\system32\uldgrug.dll*
Также прописывается в реестре по адресу *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs*

Узнать какой именно dll является трояном можно из значения поля *AppInit_DLLs* либо, если есть свежий лог AVZ, откройте *virusinfo_syscheck.htm* под таблицей список процессов, будет таблица с модулями, в столбце "Имя модуля" ищите строку вида *C:\WINDOWS\system32\X.dll*, также у данного модуля в столбце "Используется процессами" будут стоять все ProccessID (PID), на момент сканирования, кроме системного (PID 4) и бездействия (PID 0)

*Лечение.*
Предупреждаю, исключительно как сделал лично я и это мне помогло.

1)Попадаем в реестр Windows: Пуск->Выполнить, пишем regedit, OK.
В реестре ищем *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows* там ищем поле *AppInit_DLLs*, в этом поле будет следующее значение *C:\WINDOWS\system32\X.dll*, его меняем на *0*, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
Также рекомендую изменить значение поля *LoadAppInit_DLLs* в той же ветке на 0
2)Перезагружаемся.
3)Идем в *C:\WINDOWS\system32\* ищем *X.dll* и удаляем его. Можно сделать еще перезагрузку, но не обязательно.

[moderated]

IP с которого грузятся всплывающие окошки: 194.247.58.26

Модерам.
Если все нормально, сделайте пожалуйста ссылки активными.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## antanta

Ахтунг! В "поле" AppInitDlls могут быть прописаны полезные библиотеки. Например, криптопровайдера "Tumar", антивирусной защиты и прочая. Прежде, чем удалять что-то в этом параметре, нужно сделать бэкап как-то так:

```
 reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" c:\appinit.reg
```

, и трижды подумать.

----------


## Ydzero

Да в этом плане, есть пару проблем, просто у меня в этом поле больше ничего не было.

Тогда в дополнение, 
а) если в поле *AppInit_DLLs* несколько значений, удаляйте *только* запись о вредоносной dll, 
б) если в поле только одна запись и это троян, меняйте на 0

Так же обязательно делайте бекап реестра.

----------


## Rellas

Тоже словил эту вирусню, починил по вашей инструкции, помогла, спасибо  :Smiley:

----------


## Bratez

> его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.


А если на 1 поменять - _значение будет автоматически восстанавливаться_?  :Wink: 

*Ydzero*, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.
Но на будущее имейте ввиду, что у нас существуют правила форума, в частности *п.5*.

----------


## Ydzero

> А если на 1 поменять - _значение будет автоматически восстанавливаться_?


Без понятия. :Roll Eyes (Sarcastic):  



> *Ydzero*, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.


Собственно, я же не спец по этой области, обычный пользователь. Столкнулся с проблемой, в гуглах ничего путевого не нашел, покопался сам, повезло справился, решил поделится опытом. В этом плане было бы полезно решения пользователей обрабатывать с помощью знающих людей.
В общем-то, хотел предложить, чтобы кто-то переписал эту статью с проф. точки зрения, естественно исправив или удалив потенциально опасные действия. И подвесить куда надо) Тема то я вижу популярная.



> Но на будущее имейте ввиду, что у нас существуют правила форума, в частности *п.5*.


Ознакомился.

----------


## Никита Соловьев

если ваш компьютер заражен

----------

