trojan.win32.inject.aohy - не могу удалить.

[Alex90]

Вирус заразил все браузеры в системе. Окна открываются криво или опера выдает страницу с сообщением "Соединение закрыто удаленным сервером". То и дело появляется сообщение на пол-страницы якобы от компании Опера, типа обнаружен вирус trojan.win32.inject.aohy (как браузер смог обнаружить вирус - загадка=)) пожалуйста скачайте обновление системы безопасности за 3 бакса. Пробовал сканировать авастом, cureIT, Kaspersky Virus Removal в безопасном и в обычном режиме... вобщем не пробовал сканировать только в лесу в полнолуние - результата ноль. помогите удалить плиз
Вот логи.

http://exfile.ru/158554

http://exfile.ru/158555

[Strage_297]

Перезалейте логи на другой файлообменник.

[arsen.asp]

Надо попробовать в лесу в полночь.Ежели серьёзно ,сначала удалите ОПЕРУ,все файлы и папки связанные с ней,потом пройдитесь по системе антишпионом (AD AWARE SE PROFESSIONAL).Вероятно,дело в баннере,присланном анонимно-автоматически,такое бывает.Если так,то AD AWARE обнаружит их.Удалите все и перезагрузитесь.Как вариант,установите какой-нибудь новый браузер и пробуйте войти в интернет.

[Alex90]

Логи

http://webfile.ru/5141915
http://webfile.ru/5141920

Arsen, удалял оперу, чистил реестр и каталоги как в ручную так и CCleaner`ом, устанавливал новые браузеры, проверял... Бесполезно. Весь прикол в том что по работе передо мной постоянно находится 3 монитора и когда на одном из них всплыл запрос на разрешение вносить изменения в структуру жесткого диска программой flashplayer_update_exe. я не обратил внимания и разрешил доступ, за что и поплатился=) Тут же последовала перезагрузка, а при следующем входе в систему меня уже ждали вот такие приколы=)

[Strage_297]

Выполните скрипт (AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('13725902');
 StopService('66644722');
 StopService('13725901');
 StopService('setup_9.0.0.722_19.02.2011_12-12drv');
 StopService('66644721');
 QuarantineFile('C:\Windows\system32\ichctjk.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\6664472.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644721.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725901.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644722.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725902.sys','');
 DeleteFile('C:\Windows\system32\ichctjk.dll');
 DeleteFile('C:\Windows\system32\DRIVERS\13725902.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644722.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\13725901.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644721.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\6664472.sys');
 DeleteService('setup_9.0.0.722_19.02.2011_12-12drv');
 DeleteService('13725902');
 DeleteService('66644722');
 DeleteService('13725901');
 DeleteService('66644721');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.


Пофиксите в HiJackThis:

Код:

R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\ichctjk.dll

Сделайте 2-й стандартный скрипт и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Установите обновления:
- Java;
- Adobe Reader X.

[Alex90]

Не могу выполнить скрипт в AVZ. Запускаю от имени администратора и как только нажимаю на "пуск" в "выполнить скрипт" AVZ прекращает работать. Вылетает с ошибкой "прекращена работа программы антивирусная утилита АВЗ" что делать? ( У меня 7ой винд)

[goredey]

Alex90, попробуйте так

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 StopService('13725902');
 StopService('66644722');
 StopService('13725901');
 StopService('setup_9.0.0.722_19.02.2011_12-12drv');
 StopService('66644721');
 QuarantineFile('C:\Windows\system32\ichctjk.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\6664472.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644721.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725901.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\66644722.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\13725902.sys','');
 DeleteFile('C:\Windows\system32\ichctjk.dll');
 DeleteFile('C:\Windows\system32\DRIVERS\13725902.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644722.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\13725901.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\66644721.sys');
 DeleteFile('C:\Windows\system32\DRIVERS\6664472.sys');
 DeleteService('setup_9.0.0.722_19.02.2011_12-12drv');
 DeleteService('13725902');
 DeleteService('66644722');
 DeleteService('13725901');
 DeleteService('66644721');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[Alex90]

выполнил скрипт и теперь тока этот комп остался работать. А на том только черный экран... (формат ц)?

---------- Добавлено в 11:12 ---------- Предыдущее сообщение было написано в 11:06 ----------

обратно не загружается....

[goredey]

Alex90, при перезагрузке выберите последную удачную конфиурацию

[Alex90]

Ок, все нормально=))) есть доступ в систему. Что делать дальше?

---------- Добавлено в 12:05 ---------- Предыдущее сообщение было написано в 11:41 ----------

Не поверите=) сделал восстановление системы и все пропало=) окно больше не появляется=) вобщем все как было=) Но сам вирь может стоит удалить?

[Strage_297]

Цитата:

Сообщение от Alex90

Что делать дальше?

Цитата:

Сообщение от Strage_297

Сделайте 2-й стандартный скрипт и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вот что делать))

[radrik]

http://webfile.ru/5175217 - avz

http://exfile.ru/160732 - hijack

вот мои логи, помогите.
отдельную тему создать не получается...

[Iljeben]

radrik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jjzyghc.dll','');
DeleteFile('C:\WINDOWS\system32\jjzyghc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

[radrik]

http://webfile.ru/5175335

всё заработало, как раньше...
бальшая спасиба!

что-то ещё нужно делать?

[Гризлик]

radrik, В логах больше ничего вредного нет.