Winfdows 7 вирус trojan.MSIL.inject.ahyr [Trojan.MSIL.Inject.ahyr ]

[olegp79]

Добрый день, имеется ноутбук с Windows 7, стоит на нем лицензионный KAV 6.0, он находит несколько вирусов при лечении, один из них как мне кажется сам касперскаий показывает trojan.MSIL.inject.ahyr при его удалении на сколько понимаю удаляется много системных файлов, после чего система превращается в черный экран с двигающимся курсором, ни чего в таком режиме сделать нельзя, ни диспетчер задач ни сеть не работают, по сети к компьютеру тоже не подключится! помогает откатывание системы на пару дней назад! после чего вирус опять находится в пользовательских папках и если его опять удалить все повторяется, пробовал лечить и RemovalTool и Curit все одинаково! сейчас систему откатил, но вирус не лечу, потому как система опять "упадет"!

[Info_bot]

Уважаемый(ая) olegp79, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\anatoly\appdata\roaming\vopackage\vosrv.exe');
 StopService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64');
 StopService('{9d5747ee-0448-4681-8337-1555de75a3b6}w64');
 StopService('{55685567-4840-4a91-962b-49a412e9485a}w64');
 StopService('netfilter64');
 QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');
 QuarantineFile('C:\Windows\system32\csrss.exe','');
 QuarantineFile('C:\Users\anatoly\appdata\roaming\rundll32.exe','');
 QuarantineFile('C:\Program Files (x86)\Speed Analysis 3\ScriptHost.dll','');
 QuarantineFile('C:\Program Files (x86)\SeeSimilar02\ScriptHost.dll','');
 QuarantineFile('C:\Users\anatoly\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\netfilter64.sys','');
 QuarantineFile('c:\users\anatoly\appdata\roaming\vopackage\vosrv.exe','');
 DeleteFile('c:\users\anatoly\appdata\roaming\vopackage\vosrv.exe','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{9d5747ee-0448-4681-8337-1555de75a3b6}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys','32');
 DeleteFile('C:\Users\anatoly\AppData\Roaming\svchost.exe','32');
 DeleteFile('C:\Program Files (x86)\SeeSimilar02\ScriptHost.dll','32');
 DeleteFile('C:\Program Files (x86)\Speed Analysis 3\ScriptHost.dll','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Users\anatoly\appdata\roaming\rundll32.exe','32');
 DeleteFile('C:\Windows\system32\csrss.exe','32');
 DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');
 DelBHO('{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}');
 DelBHO('{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0}');
 DelBHO('{93488930-185C-4CED-AFEB-0FD4930F8423}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64');
 DeleteService('{9d5747ee-0448-4681-8337-1555de75a3b6}w64');
 DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
 DeleteService('netfilter64');
 DeleteFileMask('C:\Program Files (x86)\Speed Analysis 3','*',true);
 DeleteFileMask('C:\Program Files (x86)\SeeSimilar02','*',true);
 DeleteDirectory('C:\Program Files (x86)\Speed Analysis 3');
 DeleteDirectory('C:\Program Files (x86)\SeeSimilar02');
ExecuteSysClean;
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[olegp79]

после выполнения скрипта, ситуация с черным экраном повтрилась опять надо откатывать систему...

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

надо в случае что после выполнения скрипта тот же результат делать остальное?

[Vvvyg]

Давайте тогда другое сделайте.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[olegp79]

сделал.

[Vvvyg]

Сохраните файл Вложение 498823 в папку с UVS.

Загрузите систему в безопасном режиме.

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из файла...
Загрузите сохранённый файл со скриптом.

Компьютер перезагрузится.

Сразу загрузитесь в безопасном режиме с поддержкой сети.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Не ваыходя из безопасного режима сделайте полный новый образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[olegp79]

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

сделал..

Не ваыходя из безопасного режима сделайте полный новый образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

сделал http://rghost.ru/58343385

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
sreg
delref %SystemRoot%\SYSWOW64\CSRSS.EXE
zoo %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\BVFVCCFI\RTVHHTED.EXE
delall %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\BVFVCCFI\RTVHHTED.EXE
delref %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\OMIGA-PLUS\UNINSTALLMANAGER.EXE
delref %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
delref %Sys32%\REGEDIT.EXE
delref HTTP://ISEARCH.OMIGA-PLUS.COM/?TYPE=HP&TS=1405154642&FROM=ADKS&UID=_XXP
delref %Sys32%\DRIVERS\NETFILTER64.SYS
delref %SystemDrive%\PROGRAM FILES\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E\BACGAJUBOB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SUPTAB\SUPTAB.DLL
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE
czoo
areg

Компьютер перезагрузится.

Загрузите в карантин новый карантин (ZOO_*.zip), сделайте полный новый образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[olegp79]

пишет "тест скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"

[Vvvyg]

Ошибок в скрипте нет, копируйте полностью.

[olegp79]

Ошибок в скрипте нет, копируйте полностью.

вчера копировал полностью и вставлял в текстовик, может быть в этом дело было, сегодня просто выполнил из буфера, получилось.

карантин загрузил.

образ автозапуска uVS http://rghost.ru/58359816

[Vvvyg]

Отключите до перезагрузки антивирус.
Выполните скрипт в uVS:

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
delref %SystemRoot%\SYSWOW64\CSRSS.EXE
delref %Sys32%\REGEDIT.EXE
delref %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\OMIGA-PLUS\UNINSTALLMANAGER.EXE
delref %SystemDrive%\USERS\ANATOLY\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
delref %Sys32%\DRIVERS\NETFILTER64.SYS
delref %Sys32%\DRIVERS\{55685567-4840-4A91-962B-49A412E9485A}W64.SYS
delref %Sys32%\DRIVERS\{9D5747EE-0448-4681-8337-1555DE75A3B6}W64.SYS
delref %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}GW64.SYS
delref %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}W64.SYS
delref HTTP://ISEARCH.OMIGA-PLUS.COM/?TYPE=HP&TS=1405154642&FROM=ADKS&UID=_XXP
delref %SystemDrive%\PROGRAM FILES\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E\BACGAJUBOB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE
restart

Компьютер перезагрузится.

Сделайте полный новый образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

Сделайте лог AdwCleaner (by Xplode).

[olegp79]

делал скрипт в безопасном режиме, в нем не работает антивирус.
полный образ автозапуска http://rghost.ru/58375486 .

лог AdwCleaner вставил, при сканировании по моему мнению файлы которые являются вирусом нашлись, но без команды удалять не стал.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров.

[olegp79]

извините, запускал adwcleaner с флешки и выдернул её, почти сразу когда началась перезагрузка вставил, но видимо не успел, автоматически файл отчета не открылся после загрузки, грузился в безопасном режиме, но повторное сканирование ни чего не выявило.

кэши почистил.

нужно что то еще делать?

[Vvvyg]

В принципе, должно быть чисто, но хотелось бы убедиться. Ещё раз отсканируйте AdwCleaner'ом и приложите новый отчёт.

[olegp79]

новый отчет

[Vvvyg]

Чисто.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните рекомендации после лечения.

[olegp79]

перезагрузился в обычном режиме, для того что бы проделать все последние рекомендации, касперский тут же "сказал" что есть активные угрозы, удалять не стал потому как понимаю чем закончится, загрузился опять в безопасном просканировал в AdwCleaner, ни чего не находит