Показано с 1 по 7 из 7.

Решение: Trojan.Win32.Inject.aohy

  1. #1
    Junior Member Репутация
    Регистрация
    04.03.2011
    Сообщений
    3
    Вес репутации
    25

    Cool Решение: Trojan.Win32.Inject.aohy

    Всем привет.
    На днях подцепил данную заразу, после суток ожесточенной борьбы мне все таки удалось её прибить. И так, хотел бы поделится опытом.

    Предыстория.
    Прогуливаясь по сайтам в поисках сабов, щелкнул по всплывающему окну, пытаясь его закрыть, и тут понеслось.

    - редирект, запускается Java приложение (появляется заставка);
    - браузер виснет;
    - появляется ошибка толи отказа драйвера толи еще чего, не успел рассмотреть;
    - система уходит в перезагрузку.

    Загружаюсь, лезу в тырнет, вроде все ничего, 1-2 сайта открываются нормально, остальные либо часть кода страницы, либо вообще ничего. И, на раз так 10, выплывает сверху окошко с текстом
    В системе обнаружен вирус. Использование интернета нежелательно.
    Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера.
    Trojan.Win32.Inject.aohy - Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники*ру) и загрузки на зараженный ПК новых вредоносных программ
    На кнопке обновить висит ссылка вида upgrade.XXX.com, где XXX сайт разработчика браузера.

    Описание.
    Собственно, не уверен как эта зараза называется, но пусть будет троян. Как мне кажется, дыра где-то в jave, через нее он и лезет.

    В зависимости от браузера есть разные всплывающие окна, но с одним и тем же текстом. Примеры:
    IE: img845.imageshack.us/f/90720387.jpg
    Opera: img52.imageshack.us/f/operauf.jpg
    FireFox: img856.imageshack.us/f/firefox.jpg

    Троян создает в папке system32 файл X.dll, где X - это 7 символьное произвольное имя, размером 52 КБ, пример, C:\WINDOWS\system32\uldgrug.dll
    Также прописывается в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

    Узнать какой именно dll является трояном можно из значения поля AppInit_DLLs либо, если есть свежий лог AVZ, откройте virusinfo_syscheck.htm под таблицей список процессов, будет таблица с модулями, в столбце "Имя модуля" ищите строку вида C:\WINDOWS\system32\X.dll, также у данного модуля в столбце "Используется процессами" будут стоять все ProccessID (PID), на момент сканирования, кроме системного (PID 4) и бездействия (PID 0)

    Лечение.
    Предупреждаю, исключительно как сделал лично я и это мне помогло.

    1)Попадаем в реестр Windows: Пуск->Выполнить, пишем regedit, OK.
    В реестре ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows там ищем поле AppInit_DLLs, в этом поле будет следующее значение C:\WINDOWS\system32\X.dll, его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
    Также рекомендую изменить значение поля LoadAppInit_DLLs в той же ветке на 0
    2)Перезагружаемся.
    3)Идем в C:\WINDOWS\system32\ ищем X.dll и удаляем его. Можно сделать еще перезагрузку, но не обязательно.

    [moderated]

    IP с которого грузятся всплывающие окошки: 194.247.58.26

    Модерам.
    Если все нормально, сделайте пожалуйста ссылки активными.
    Последний раз редактировалось olejah; 04.03.2011 в 20:56. Причина: Почищены ссылки на зловреда

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    507
    Ахтунг! В "поле" AppInitDlls могут быть прописаны полезные библиотеки. Например, криптопровайдера "Tumar", антивирусной защиты и прочая. Прежде, чем удалять что-то в этом параметре, нужно сделать бэкап как-то так:
    Код:
     reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" c:\appinit.reg
    , и трижды подумать.

  4. #3
    Junior Member Репутация
    Регистрация
    04.03.2011
    Сообщений
    3
    Вес репутации
    25
    Да в этом плане, есть пару проблем, просто у меня в этом поле больше ничего не было.

    Тогда в дополнение,
    а) если в поле AppInit_DLLs несколько значений, удаляйте только запись о вредоносной dll,
    б) если в поле только одна запись и это троян, меняйте на 0

    Так же обязательно делайте бекап реестра.

  5. #4
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    3
    Вес репутации
    25
    Тоже словил эту вирусню, починил по вашей инструкции, помогла, спасибо

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Ydzero Посмотреть сообщение
    его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
    А если на 1 поменять - значение будет автоматически восстанавливаться?

    Ydzero, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.
    Но на будущее имейте ввиду, что у нас существуют правила форума, в частности п.5.
    Последний раз редактировалось Bratez; 17.03.2011 в 14:49. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    04.03.2011
    Сообщений
    3
    Вес репутации
    25
    Цитата Сообщение от Bratez Посмотреть сообщение
    А если на 1 поменять - значение будет автоматически восстанавливаться?
    Без понятия.
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ydzero, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.
    Собственно, я же не спец по этой области, обычный пользователь. Столкнулся с проблемой, в гуглах ничего путевого не нашел, покопался сам, повезло справился, решил поделится опытом. В этом плане было бы полезно решения пользователей обрабатывать с помощью знающих людей.
    В общем-то, хотел предложить, чтобы кто-то переписал эту статью с проф. точки зрения, естественно исправив или удалив потенциально опасные действия. И подвесить куда надо) Тема то я вижу популярная.
    Цитата Сообщение от Bratez Посмотреть сообщение
    Но на будущее имейте ввиду, что у нас существуют правила форума, в частности п.5.
    Ознакомился.

  8. #7

Похожие темы

  1. Trojan.Win32.Inject.aohy
    От Dremore в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 20.03.2011, 17:52
  2. Trojan.Win32.Inject.aohy
    От lounine в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 16.03.2011, 11:03
  3. Trojan.Win32.Inject.aohy
    От igortim в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.03.2011, 00:44
  4. trojan.win32.inject.aohy
    От dovgon в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 23.02.2011, 02:00
  5. Trojan.Win32.Inject.aohy
    От Cheroke в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 21.02.2011, 01:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01312 seconds with 16 queries