Trojan.Win32.Inject.aohy

**ddimddim** · 28.02.2011, 20:01

Приветствую!

Вылезла вот такая гадость в браузере, денег хочет

Антивирусы ее не видят. Дополнительный интересный симптом - не дает загружаться в safe mode: при перезагрузке после F8 блокируется клавиатура и не удается выбрать нужный пункт меню; в msconfig отсутствует пункт boot.ini

Буду благодарен, если подскажете как эту гадость победить...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 28.02.2011, 20:16

Приветствую!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O20 - AppInit_DLLs: H:\WINDOWS\system32\oagzbkk.dll

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('H:\WINDOWS\system32\cfuupio.exe','');
 QuarantineFile('H:\WINDOWS\system32\excasnl.exe','');
 QuarantineFile('H:\WINDOWS\system32\hde.dll','');
 QuarantineFile('H:\WINDOWS\system32\lznvnww.exe','');
 QuarantineFile('H:\WINDOWS\system32\meahjou.exe','');
 QuarantineFile('H:\WINDOWS\system32\npipihd.exe','');
 QuarantineFile('H:\WINDOWS\system32\oagzbkk.dll','');
 DeleteFile('H:\WINDOWS\system32\oagzbkk.dll');
 DeleteFile('H:\WINDOWS\system32\npipihd.exe');
 DeleteFile('H:\WINDOWS\system32\meahjou.exe');
 DeleteFile('H:\WINDOWS\system32\lznvnww.exe');
 DeleteFile('H:\WINDOWS\system32\excasnl.exe');
 DeleteFile('H:\WINDOWS\system32\cfuupio.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Кроме ИЕ, какие ещё браузеры установлены?

**ddimddim** · 28.02.2011, 20:31

Спасибо за быстрый ответ!

Вроде бы заработало...

Карантин послал. Браузеры - Chrome (основной) и firefox (время от времени). IE - раз в пару месяцев...

**olejah** · 28.02.2011, 20:32

Сообщение от ddimddim

Браузеры - Chrome (основной) и firefox

Проверьте в папках этих браузеров наличие файла setupapi.dll, если найдёте - удалите.

- Сделайте повторные логи

**ddimddim** · 28.02.2011, 20:40

Приветствую!

setupapi.dll отсутствует. Логи - по полной (все три) и прислать еще раз или просто для перепроверки?

**olejah** · 28.02.2011, 20:41

Сделать новые, чтобы посмотреть всё ли плохое убито.

**ddimddim** · 28.02.2011, 21:28

Еще раз спасибо за помощь! Пока все работает

Логи прицеплены.

**olejah** · 28.02.2011, 21:35

Ну плохого не вижу.

**ddimddim** · 28.02.2011, 21:40

Спасибо еще раз!

**CyberHelper** · 01.03.2011, 21:40

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. h:\\windows\\system32\\oagzbkk.dll - Trojan.Win32.Zapchast.exo ( DrWEB: Trojan.Mayachok.based, BitDefender: Gen:Variant.Adware.Boigy.5, AVAST4: Win32:Vundo-JQ [Trj] )

Trojan.Win32.Inject.aohy (заявка № 98754)

Опции темы