trojan.win32.inject.aohy - не могу удалить.

Alex90 · 20.02.2011, 20:42

Вирус заразил все браузеры в системе. Окна открываются криво или опера выдает страницу с сообщением "Соединение закрыто удаленным сервером". То и дело появляется сообщение на пол-страницы якобы от компании Опера, типа обнаружен вирус trojan.win32.inject.aohy (как браузер смог обнаружить вирус - загадка=)) пожалуйста скачайте обновление системы безопасности за 3 бакса. Пробовал сканировать авастом, cureIT, Kaspersky Virus Removal в безопасном и в обычном режиме... вобщем не пробовал сканировать только в лесу в полнолуние - результата ноль. помогите удалить плиз

Вот логи.

http://exfile.ru/158554

http://exfile.ru/158555

Strage_297 · 20.02.2011, 21:25

Перезалейте логи на другой файлообменник.

arsen.asp · 20.02.2011, 21:47

Надо попробовать в лесу в полночь.Ежели серьёзно ,сначала удалите ОПЕРУ,все файлы и папки связанные с ней,потом пройдитесь по системе антишпионом (AD AWARE SE PROFESSIONAL).Вероятно,дело в баннере,присланном анонимно-автоматически,такое бывает.Если так,то AD AWARE обнаружит их.Удалите все и перезагрузитесь.Как вариант,установите какой-нибудь новый браузер и пробуйте войти в интернет.

Alex90 · 20.02.2011, 22:10

Логи

http://webfile.ru/5141915
http://webfile.ru/5141920

Arsen, удалял оперу, чистил реестр и каталоги как в ручную так и CCleaner`ом, устанавливал новые браузеры, проверял... Бесполезно. Весь прикол в том что по работе передо мной постоянно находится 3 монитора и когда на одном из них всплыл запрос на разрешение вносить изменения в структуру жесткого диска программой flashplayer_update_exe. я не обратил внимания и разрешил доступ, за что и поплатился=) Тут же последовала перезагрузка, а при следующем входе в систему меня уже ждали вот такие приколы=)

Strage_297 · 20.02.2011, 22:25

Выполните скрипт (AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('13725902');
 StopService('66644722');
 StopService('13725901');
 StopService('setup_9.0.0.722_19.02.2011_12-12drv');
 StopService('66644721');
 QuarantineFile('C:\Windows\system32\ichctjk.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\6664472.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644721.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725901.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644722.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725902.sys','');
 DeleteFile('C:\Windows\system32\ichctjk.dll');
 DeleteFile('C:\Windows\system32\DRIVERS\13725902.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644722.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\13725901.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644721.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\6664472.sys');
 DeleteService('setup_9.0.0.722_19.02.2011_12-12drv');
 DeleteService('13725902');
 DeleteService('66644722');
 DeleteService('13725901');
 DeleteService('66644721');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HiJackThis:

Код:

R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\ichctjk.dll

Сделайте 2-й стандартный скрипт и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Установите обновления:
- Java;
- Adobe Reader X.

Alex90 · 21.02.2011, 02:32

Не могу выполнить скрипт в AVZ. Запускаю от имени администратора и как только нажимаю на "пуск" в "выполнить скрипт" AVZ прекращает работать. Вылетает с ошибкой "прекращена работа программы антивирусная утилита АВЗ" что делать? ( У меня 7ой винд)

goredey · 21.02.2011, 09:06

Alex90, попробуйте так

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 StopService('13725902');
 StopService('66644722');
 StopService('13725901');
 StopService('setup_9.0.0.722_19.02.2011_12-12drv');
 StopService('66644721');
 QuarantineFile('C:\Windows\system32\ichctjk.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\6664472.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644721.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725901.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644722.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725902.sys','');
 DeleteFile('C:\Windows\system32\ichctjk.dll');
 DeleteFile('C:\Windows\system32\DRIVERS\13725902.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644722.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\13725901.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644721.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\6664472.sys');
 DeleteService('setup_9.0.0.722_19.02.2011_12-12drv');
 DeleteService('13725902');
 DeleteService('66644722');
 DeleteService('13725901');
 DeleteService('66644721');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Alex90 · 21.02.2011, 12:12

выполнил скрипт и теперь тока этот комп остался работать. А на том только черный экран... (формат ц)?

---------- Добавлено в 11:12 ---------- Предыдущее сообщение было написано в 11:06 ----------

обратно не загружается....

goredey · 21.02.2011, 12:24

Alex90, при перезагрузке выберите последную удачную конфиурацию

Alex90 · 21.02.2011, 13:05

Ок, все нормально=))) есть доступ в систему. Что делать дальше?

---------- Добавлено в 12:05 ---------- Предыдущее сообщение было написано в 11:41 ----------

Не поверите=) сделал восстановление системы и все пропало=) окно больше не появляется=) вобщем все как было=) Но сам вирь может стоит удалить?

Strage_297 · 21.02.2011, 18:46

Цитата:

Сообщение от Alex90

Что делать дальше?

Цитата:

Сообщение от Strage_297

Сделайте 2-й стандартный скрипт и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вот что делать))

radrik · 07.03.2011, 06:08

http://webfile.ru/5175217 - avz

http://exfile.ru/160732 - hijack

вот мои логи, помогите.
отдельную тему создать не получается...

Iljeben · 07.03.2011, 07:25

radrik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jjzyghc.dll','');
DeleteFile('C:\WINDOWS\system32\jjzyghc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

radrik · 07.03.2011, 11:00

http://webfile.ru/5175335

всё заработало, как раньше...
бальшая спасиба!

что-то ещё нужно делать?

Гризлик · 07.03.2011, 12:11

radrik, В логах больше ничего вредного нет.

20.02.2011, 20:42	#1 (ссылка)
Alex90 Новичок Регистрация: 20.02.2011 Сообщений: 6 Репутация: 0	trojan.win32.inject.aohy - не могу удалить. Вирус заразил все браузеры в системе. Окна открываются криво или опера выдает страницу с сообщением "Соединение закрыто удаленным сервером". То и дело появляется сообщение на пол-страницы якобы от компании Опера, типа обнаружен вирус trojan.win32.inject.aohy (как браузер смог обнаружить вирус - загадка=)) пожалуйста скачайте обновление системы безопасности за 3 бакса. Пробовал сканировать авастом, cureIT, Kaspersky Virus Removal в безопасном и в обычном режиме... вобщем не пробовал сканировать только в лесу в полнолуние - результата ноль. помогите удалить плиз Вот логи. http://exfile.ru/158554 http://exfile.ru/158555

20.02.2011, 21:25	#2 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Перезалейте логи на другой файлообменник. Последний раз редактировалось Strage_297; 20.02.2011 в 21:33.

20.02.2011, 22:25	#5 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Выполните скрипт (AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('13725902'); StopService('66644722'); StopService('13725901'); StopService('setup_9.0.0.722_19.02.2011_12-12drv'); StopService('66644721'); QuarantineFile('C:\Windows\system32\ichctjk.dll',''); QuarantineFile('C:\Windows\system32\DRIVERS\6664472.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\66644721.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\13725901.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\66644722.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\13725902.sys',''); DeleteFile('C:\Windows\system32\ichctjk.dll'); DeleteFile('C:\Windows\system32\DRIVERS\13725902.sys'); DeleteFile('C:\Windows\system32\DRIVERS\66644722.sys'); DeleteFile('C:\Windows\system32\DRIVERS\13725901.sys'); DeleteFile('C:\Windows\system32\DRIVERS\66644721.sys'); DeleteFile('C:\Windows\system32\DRIVERS\6664472.sys'); DeleteService('setup_9.0.0.722_19.02.2011_12-12drv'); DeleteService('13725902'); DeleteService('66644722'); DeleteService('13725901'); DeleteService('66644721'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: Код: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HiJackThis: Код: R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file) O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O20 - AppInit_DLLs: C:\Windows\system32\ichctjk.dll Сделайте 2-й стандартный скрипт и приложите к сообщению. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Установите обновления: - Java; - Adobe Reader X.

07.03.2011, 07:25	#13 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	radrik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\jjzyghc.dll',''); DeleteFile('C:\WINDOWS\system32\jjzyghc.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

07.03.2011, 11:00	#14 (ссылка)
radrik Новичок Регистрация: 07.03.2011 Сообщений: 27 Репутация: 0	http://webfile.ru/5175335 всё заработало, как раньше... бальшая спасиба! что-то ещё нужно делать? Последний раз редактировалось radrik; 07.03.2011 в 11:05.

20.02.2011, 21:47	#3 (ссылка)
arsen.asp Новичок Регистрация: 22.11.2010 Сообщений: 523 Репутация: 36	Надо попробовать в лесу в полночь.Ежели серьёзно ,сначала удалите ОПЕРУ,все файлы и папки связанные с ней,потом пройдитесь по системе антишпионом (AD AWARE SE PROFESSIONAL).Вероятно,дело в баннере,присланном анонимно-автоматически,такое бывает.Если так,то AD AWARE обнаружит их.Удалите все и перезагрузитесь.Как вариант,установите какой-нибудь новый браузер и пробуйте войти в интернет.

20.02.2011, 22:10	#4 (ссылка)
Alex90 Новичок Регистрация: 20.02.2011 Сообщений: 6 Репутация: 0	Логи http://webfile.ru/5141915 http://webfile.ru/5141920 Arsen, удалял оперу, чистил реестр и каталоги как в ручную так и CCleaner`ом, устанавливал новые браузеры, проверял... Бесполезно. Весь прикол в том что по работе передо мной постоянно находится 3 монитора и когда на одном из них всплыл запрос на разрешение вносить изменения в структуру жесткого диска программой flashplayer_update_exe. я не обратил внимания и разрешил доступ, за что и поплатился=) Тут же последовала перезагрузка, а при следующем входе в систему меня уже ждали вот такие приколы=)

21.02.2011, 02:32	#6 (ссылка)
Alex90 Новичок Регистрация: 20.02.2011 Сообщений: 6 Репутация: 0	Не могу выполнить скрипт в AVZ. Запускаю от имени администратора и как только нажимаю на "пуск" в "выполнить скрипт" AVZ прекращает работать. Вылетает с ошибкой "прекращена работа программы антивирусная утилита АВЗ" что делать? ( У меня 7ой винд)

21.02.2011, 12:12	#8 (ссылка)
Alex90 Новичок Регистрация: 20.02.2011 Сообщений: 6 Репутация: 0	выполнил скрипт и теперь тока этот комп остался работать. А на том только черный экран... (формат ц)? ---------- Добавлено в 11:12 ---------- Предыдущее сообщение было написано в 11:06 ---------- обратно не загружается....

21.02.2011, 12:24	#9 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Alex90, при перезагрузке выберите последную удачную конфиурацию

21.02.2011, 13:05	#10 (ссылка)
Alex90 Новичок Регистрация: 20.02.2011 Сообщений: 6 Репутация: 0	Ок, все нормально=))) есть доступ в систему. Что делать дальше? ---------- Добавлено в 12:05 ---------- Предыдущее сообщение было написано в 11:41 ---------- Не поверите=) сделал восстановление системы и все пропало=) окно больше не появляется=) вобщем все как было=) Но сам вирь может стоит удалить?

07.03.2011, 06:08	#12 (ссылка)
radrik Новичок Регистрация: 07.03.2011 Сообщений: 27 Репутация: 0	http://webfile.ru/5175217 - avz http://exfile.ru/160732 - hijack вот мои логи, помогите. отдельную тему создать не получается...

07.03.2011, 12:11	#15 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	radrik, В логах больше ничего вредного нет.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите! как удалить червь Win32/Conficker.AE	monro	Безопасность	16	17.02.2011 23:17
Обнаружена программа Trojan-proxy.win32.redbind.аi помогите избавится	Millton	Безопасность	18	22.01.2011 12:10
не могу удалить нод 32!	Сильфида	Безопасность	7	30.11.2010 14:09
После лечения вируса Trojan-Spy.Win32.Fgent.bjvb пропал звук в браузере. Помогите	iceboy	Безопасность	4	08.09.2010 14:36
Не могу удалить	карбон	Windows Vista	6	05.06.2010 00:27
Не могу удалить	Алексей_Смирнов	Мультимедиа	0	15.03.2010 13:59
Проблемы с удалением вируса Trojan.Win32.AutoRun.zs (ym)	Nod	Безопасность	4	15.02.2010 21:30
Прочитайте,пожалуйста ЛОГИ.Trojan.Win32.Patched.fr,Trojan.Downloader.Jav a.Agent.an	joy-jo	Безопасность	2	10.02.2010 21:13
Помогите победить вирус "Trojan-Ransom.Win32.Agent.g"	sergiosa	Безопасность	8	13.12.2009 01:09
не могу удалить нод 32	sunnydevil88	Безопасность	40	04.09.2009 08:29
Win32/Rootkit.Agent.NIJ trojan	sergm	Безопасность	38	20.03.2009 17:25
Не могу удалить	ALeXX	Безопасность	3	11.01.2009 22:39

Ads