Trojan.Win32.Inject.aohy

Printable View

28.02.2011, 20:01
ddimddim

Trojan.Win32.Inject.aohy

Приветствую!

Вылезла вот такая гадость в браузере, денег хочет :) Антивирусы ее не видят. Дополнительный интересный симптом - не дает загружаться в safe mode: при перезагрузке после F8 блокируется клавиатура и не удается выбрать нужный пункт меню; в msconfig отсутствует пункт boot.ini

Буду благодарен, если подскажете как эту гадость победить...
28.02.2011, 20:16
olejah

Приветствую!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: H:\WINDOWS\system32\oagzbkk.dll
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('H:\WINDOWS\system32\cfuupio.exe','');
QuarantineFile('H:\WINDOWS\system32\excasnl.exe','');
QuarantineFile('H:\WINDOWS\system32\hde.dll','');
QuarantineFile('H:\WINDOWS\system32\lznvnww.exe','');
QuarantineFile('H:\WINDOWS\system32\meahjou.exe','');
QuarantineFile('H:\WINDOWS\system32\npipihd.exe','');
QuarantineFile('H:\WINDOWS\system32\oagzbkk.dll','');
DeleteFile('H:\WINDOWS\system32\oagzbkk.dll');
DeleteFile('H:\WINDOWS\system32\npipihd.exe');
DeleteFile('H:\WINDOWS\system32\meahjou.exe');
DeleteFile('H:\WINDOWS\system32\lznvnww.exe');
DeleteFile('H:\WINDOWS\system32\excasnl.exe');
DeleteFile('H:\WINDOWS\system32\cfuupio.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Кроме ИЕ, какие ещё браузеры установлены?
28.02.2011, 20:31
ddimddim

Спасибо за быстрый ответ!

Вроде бы заработало...

Карантин послал. Браузеры - Chrome (основной) и firefox (время от времени). IE - раз в пару месяцев...
28.02.2011, 20:32
olejah

[QUOTE='ddimddim;771473']Браузеры - Chrome (основной) и firefox[/QUOTE] Проверьте в папках этих браузеров наличие файла setupapi.dll, если найдёте - удалите.

- Сделайте повторные логи
28.02.2011, 20:40
ddimddim

Приветствую!

setupapi.dll отсутствует. Логи - по полной (все три) и прислать еще раз или просто для перепроверки?
28.02.2011, 20:41
olejah

Сделать новые, чтобы посмотреть всё ли плохое убито.
28.02.2011, 21:28
ddimddim

Еще раз спасибо за помощь! Пока все работает :) Логи прицеплены.
28.02.2011, 21:35
olejah

Ну плохого не вижу.
28.02.2011, 21:40
ddimddim

Спасибо еще раз!
01.03.2011, 21:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\windows\\system32\\oagzbkk.dll - [B]Trojan.Win32.Zapchast.exo[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Adware.Boigy.5, AVAST4: Win32:Vundo-JQ [Trj] )[/LIST][/LIST]