Trojan.Win32.Inject.bkiu помогите вылечить!

[vlad252005]

Цепанул заразу когда отключал антивирус Avira. Во время открытия новых страниц, на 19-20 секунд открывается черный экран, с каким-то текстом в Юникоде. Не могу установить Opera, выдает предложение с обновлением, так как есть угроза Trojan.Win32.Inject.bkiu. В почту невозможно зайти, все блокируется. Пробовал программы Dr. Web CureIt!, Kaspersky Virus Removal Tool 2011, ничего не помогло, вируса не видят. Please, help!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[Tiare]

vlad252005, здравствуйте.

 

Ох, и много же заразы у вас побывало... Сначала уберем основное, потом подчистим хвосты.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

Пофиксите в HijackThis следующие строчки.

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\ssxjkvn.dll

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ssxjkvn.dll','');
DeleteFile('C:\WINDOWS\system32\ssxjkvn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

У вас все обновления ОС установлены? Если нет - установите в обязательном порядке, как только восстановится работа системы, иначе лечение будет бесконечным!

[vlad252005]

Большое спасибо за ответ!

Все сделал как вы сказали, но при установке Malwarebytes' Anti-Malware мне выдается ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. - базы загрузл, они обновились без проблем, но вот программа не устанавливается(

 

Так же при установке выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

[Tiare]

Давайте попробуем так.

 

Создайте новую контрольную точку восстановления.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\589.exe','');
QuarantineFile('C:\WINDOWS\Temp\472.exe','');
QuarantineFile('C:\WINDOWS\Temp\651.exe','');
QuarantineFile('C:\WINDOWS\Temp\2913659.exe','');
QuarantineFile('C:\Documents and Settings\ALDAIR\hesc.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
DeleteFile('C:\WINDOWS\Temp\589.exe');
DeleteFile('C:\WINDOWS\Temp\472.exe');
DeleteFile('C:\WINDOWS\Temp\651.exe');
DeleteFile('C:\WINDOWS\Temp\2913659.exe');
DeleteFile('C:\Documents and Settings\ALDAIR\hesc.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\589.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\472.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\651.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\2913659.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\ALDAIR\hesc.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Shell');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\141297140');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Taskman');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ALDAIR^Главное меню^Программы^Автозагрузка^cleartemp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

 

+ Сделайте лог TDSSKiller (если в обычном режиме утилита не запустится, сделайте лог в безопасном). Инструкция тут.

[vlad252005]

Отправил файл Quarantine.zip из папки AVZ. Пока жду ответа на запрос. Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

[Tiare]

Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

хорошо, отчет покажите.

 

 

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

?

 

 

Удалите остатки от Dr.Web (ссылка в подписи)

 

 

Попробуйте сделать лог Malwarebytes' Anti-Malware. Если возникнут проблемы, почитайте тут

 

 

 

Какие проблемы беспокоят?

[vlad252005]

ОтчетTDSSKiller выходит, но как его сохранить или где его найти?

Изменено 31 января, 2013 пользователем vlad252005

[Tiare]

ОтчетTDSSKiller выходит, но как его сохранить или где его найти?

в корне диска С его нет?

[vlad252005]

С MBAM у меня ничего не получается, но все остальные процессы провел по инструкции. Все отчеты прилагаю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

TDSSKiller.2.8.15.0_31.01.2013_20.44.39_log.txt

hijackthis.log

Rkill.txt

[Tiare]

С MBAM у меня ничего не получается

Читали рекомендации по моей ссылке? Что происходит при запуске программы?

 

 

Логи RSIT прикрепите. См. правила раздела п.6

[vlad252005]

То же самое выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Много раз нажимаю ОК, после чего выскакивают сообщения ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Все читал, и названия менял, и расширение, ничего не получилось. Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется: mbamext.dll

log.txt

[Tiare]

Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется

деинсталлировали штатным способом, через Пуск - Панель управления?

Удалите остатки MBAM

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

Пофиксите в HijackThis следующие строчки

O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

+ сделайте такой лог

 

 

Вы удаляли остатки от продуктов Dr.Web? Хвосты все еще видны...

 

 

 

Проблема все еще актуальна?

 

 

 

P.S. можете не торопиться, ваши отчеты смогу проверить только после обеда.

[vlad252005]

Все сделал по Вашей инструкции, все логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

osam.rar

[Roman_Five]

Вы удаляли остатки от продуктов Dr.Web? Хвосты все еще видны...

вопрос в силе.

[Tiare]

vlad252005, логи RSIT не вижу.

 

 

 

Какие проблемы остались?