Trojan.Win32.Inject.aohy

Printable View

25.03.2011, 20:47
Мишаня23

Trojan.Win32.Inject.aohy

несколько дней назад подхватил эту заразу, после чего коп перезагрузился.
сейчас страницы в браузерах загружаются не полностью или вообще не загружаются и время от времени вылазит банер предлагающий платно обновить защиту браузера.
помогите пожалуйста справиться с этой гадостью.
25.03.2011, 20:58
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]Function DelAppInit_DLLsByFileName(Name : string; AName : boolean = false) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
If AName then while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos(' ', ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1))) > 0 then
Temp := Temp + ExtractFilePath(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))) + StringReplace(ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))), ' ', ',') else
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end else Temp := Temp_AppInit_DLLs;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\huajltk.dll','');
QuarantineFile('c:\windows\temp\winlogon.exe','');
TerminateProcessByName('c:\windows\temp\winlogon.exe');
DeleteFile('c:\windows\temp\winlogon.exe');
DeleteFile('C:\Windows\system32\huajltk.dll');
DelAppInit_DLLsByFileName('C:\Windows\system32\huajltk.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=99824[/url]

4. Обновите базы AVZ и сделайте повторный лог [B]virusinfo_syscure.[/B]
26.03.2011, 12:58
Мишаня23

спасибо большое за помощь!вроде все работает нормально.
26.03.2011, 13:38
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- [B]Системное восстановление[/B][/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\servic~2\locals~1\appdata\local\temp\abd9.tmp');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Users\Demo\AppData\Local\Temp\vvZ3DecT.sys','');
QuarantineFile('C:\Windows\System32\Drivers\aqxjj9d1.SYS','');
QuarantineFile('c:\windows\servic~2\locals~1\appdata\local\temp\abd9.tmp','');
DeleteFile('C:\Windows\System32\Drivers\aqxjj9d1.SYS');
DeleteFile('C:\Users\Demo\AppData\Local\Temp\vvZ3DecT.sys');
DeleteFile('c:\windows\servic~2\locals~1\appdata\local\temp\abd9.tmp');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\opera\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
[/code]

После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [b]Приложения 3[/b] правил по красной ссылке [color=Red][u][b]Прислать запрошенный карантин[/b][/u][/color] вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
26.03.2011, 14:41
Мишаня23

все сделал.
26.03.2011, 15:12
Мишаня23

Архив 110326_113645_virusinfo_files_VAIO_4d8dcfcd2b9b7.z ip, загружен 26.03.2011 14:50:16, размер 17458867 байт
Всего файлов: 181 (исполняемых 179), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 45
В очереди на добавление в базу безопасных:
высокий приоритет: 126
обычный приоритет: 10
27.03.2011, 16:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.BHO.bjxj[/B] ( DrWEB: Trojan.WinSpy.1005, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )[*] c:\\program files\\opera\\setupapi.dll - [B]Trojan.Win32.BHO.bjxj[/B] ( DrWEB: Trojan.WinSpy.1005, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )[*] c:\\windows\\servic~2\\locals~1\\appdata\\local\\temp\\abd9.tmp - [B]Trojan.Win32.Vilsel.ayws[/B] ( DrWEB: Trojan.Packed.21547, BitDefender: Trojan.Generic.KDV.166346, AVAST4: Win32:MalOb-FS [Cryp] )[*] c:\\windows\\system32\\huajltk.dll - [B]Trojan.Win32.Zapchast.fdu[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Adware.Boigy.5, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]