-
Junior Member
- Вес репутации
- 48
Решение: Trojan.Win32.Inject.aohy
Всем привет.
На днях подцепил данную заразу, после суток ожесточенной борьбы мне все таки удалось её прибить. И так, хотел бы поделится опытом.
Предыстория.
Прогуливаясь по сайтам в поисках сабов, щелкнул по всплывающему окну, пытаясь его закрыть, и тут понеслось.
- редирект, запускается Java приложение (появляется заставка);
- браузер виснет;
- появляется ошибка толи отказа драйвера толи еще чего, не успел рассмотреть;
- система уходит в перезагрузку.
Загружаюсь, лезу в тырнет, вроде все ничего, 1-2 сайта открываются нормально, остальные либо часть кода страницы, либо вообще ничего. И, на раз так 10, выплывает сверху окошко с текстом
В системе обнаружен вирус. Использование интернета нежелательно.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Inject.aohy - Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники*ру) и загрузки на зараженный ПК новых вредоносных программ
На кнопке обновить висит ссылка вида upgrade.XXX.com, где XXX сайт разработчика браузера.
Описание.
Собственно, не уверен как эта зараза называется, но пусть будет троян. Как мне кажется, дыра где-то в jave, через нее он и лезет.
В зависимости от браузера есть разные всплывающие окна, но с одним и тем же текстом. Примеры:
IE: img845.imageshack.us/f/90720387.jpg
Opera: img52.imageshack.us/f/operauf.jpg
FireFox: img856.imageshack.us/f/firefox.jpg
Троян создает в папке system32 файл X.dll, где X - это 7 символьное произвольное имя, размером 52 КБ, пример, C:\WINDOWS\system32\uldgrug.dll
Также прописывается в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Узнать какой именно dll является трояном можно из значения поля AppInit_DLLs либо, если есть свежий лог AVZ, откройте virusinfo_syscheck.htm под таблицей список процессов, будет таблица с модулями, в столбце "Имя модуля" ищите строку вида C:\WINDOWS\system32\X.dll, также у данного модуля в столбце "Используется процессами" будут стоять все ProccessID (PID), на момент сканирования, кроме системного (PID 4) и бездействия (PID 0)
Лечение.
Предупреждаю, исключительно как сделал лично я и это мне помогло.
1)Попадаем в реестр Windows: Пуск->Выполнить, пишем regedit, OK.
В реестре ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows там ищем поле AppInit_DLLs, в этом поле будет следующее значение C:\WINDOWS\system32\X.dll, его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
Также рекомендую изменить значение поля LoadAppInit_DLLs в той же ветке на 0
2)Перезагружаемся.
3)Идем в C:\WINDOWS\system32\ ищем X.dll и удаляем его. Можно сделать еще перезагрузку, но не обязательно.
[moderated]
IP с которого грузятся всплывающие окошки: 194.247.58.26
Модерам.
Если все нормально, сделайте пожалуйста ссылки активными.
Последний раз редактировалось olejah; 04.03.2011 в 20:56.
Причина: Почищены ссылки на зловреда
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ахтунг! В "поле" AppInitDlls могут быть прописаны полезные библиотеки. Например, криптопровайдера "Tumar", антивирусной защиты и прочая. Прежде, чем удалять что-то в этом параметре, нужно сделать бэкап как-то так:
Код:
reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" c:\appinit.reg
, и трижды подумать.
-
-
Junior Member
- Вес репутации
- 48
Да в этом плане, есть пару проблем, просто у меня в этом поле больше ничего не было.
Тогда в дополнение,
а) если в поле AppInit_DLLs несколько значений, удаляйте только запись о вредоносной dll,
б) если в поле только одна запись и это троян, меняйте на 0
Так же обязательно делайте бекап реестра.
-
Junior Member
- Вес репутации
- 48
Тоже словил эту вирусню, починил по вашей инструкции, помогла, спасибо
-
Сообщение от
Ydzero
его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
А если на 1 поменять - значение будет автоматически восстанавливаться?
Ydzero, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.
Но на будущее имейте ввиду, что у нас существуют правила форума, в частности п.5.
Последний раз редактировалось Bratez; 17.03.2011 в 14:49.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Bratez
А если на 1 поменять -
значение будет автоматически восстанавливаться?
Без понятия.
Сообщение от
Bratez
Ydzero, в основном Вы правильно разобрались с проблемой, если не придираться по мелочам.
Собственно, я же не спец по этой области, обычный пользователь. Столкнулся с проблемой, в гуглах ничего путевого не нашел, покопался сам, повезло справился, решил поделится опытом. В этом плане было бы полезно решения пользователей обрабатывать с помощью знающих людей.
В общем-то, хотел предложить, чтобы кто-то переписал эту статью с проф. точки зрения, естественно исправив или удалив потенциально опасные действия. И подвесить куда надо) Тема то я вижу популярная.
Сообщение от
Bratez
Но на будущее имейте ввиду, что у нас существуют правила форума, в частности п.5.
Ознакомился.
-
-