Trojan.Win32.Inject.bkiu помогите вылечить!

31 января, 2013

Цепанул заразу когда отключал антивирус Avira. Во время открытия новых страниц, на 19-20 секунд открывается черный экран, с каким-то текстом в Юникоде. Не могу установить Opera, выдает предложение с обновлением, так как есть угроза Trojan.Win32.Inject.bkiu. В почту невозможно зайти, все блокируется. Пробовал программы Dr. Web CureIt!, Kaspersky Virus Removal Tool 2011, ничего не помогло, вируса не видят. Please, help!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

31 января, 2013

vlad252005, здравствуйте.

Ох, и много же заразы у вас побывало... Сначала уберем основное, потом подчистим хвосты.

Закройте все программы, включая антивирусное программное обеспечение и firewall

Пофиксите в HijackThis следующие строчки.

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\ssxjkvn.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ssxjkvn.dll','');
DeleteFile('C:\WINDOWS\system32\ssxjkvn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

У вас все обновления ОС установлены? Если нет - установите в обязательном порядке, как только восстановится работа системы, иначе лечение будет бесконечным!

31 января, 2013

Большое спасибо за ответ!

Все сделал как вы сказали, но при установке Malwarebytes' Anti-Malware мне выдается ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. - базы загрузл, они обновились без проблем, но вот программа не устанавливается(

Так же при установке выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

31 января, 2013

Давайте попробуем так.

Создайте новую контрольную точку восстановления.

Закройте все программы, включая антивирусное программное обеспечение и firewall

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\589.exe','');
QuarantineFile('C:\WINDOWS\Temp\472.exe','');
QuarantineFile('C:\WINDOWS\Temp\651.exe','');
QuarantineFile('C:\WINDOWS\Temp\2913659.exe','');
QuarantineFile('C:\Documents and Settings\ALDAIR\hesc.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
DeleteFile('C:\WINDOWS\Temp\589.exe');
DeleteFile('C:\WINDOWS\Temp\472.exe');
DeleteFile('C:\WINDOWS\Temp\651.exe');
DeleteFile('C:\WINDOWS\Temp\2913659.exe');
DeleteFile('C:\Documents and Settings\ALDAIR\hesc.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\589.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\472.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\651.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\2913659.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\ALDAIR\hesc.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Shell');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\141297140');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Taskman');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ALDAIR^Главное меню^Программы^Автозагрузка^cleartemp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

+ Сделайте лог TDSSKiller (если в обычном режиме утилита не запустится, сделайте лог в безопасном). Инструкция тут.

31 января, 2013

Отправил файл Quarantine.zip из папки AVZ. Пока жду ответа на запрос. Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

31 января, 2013

Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

хорошо, отчет покажите.

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

?

Удалите остатки от Dr.Web (ссылка в подписи)

Попробуйте сделать лог Malwarebytes' Anti-Malware. Если возникнут проблемы, почитайте тут

Какие проблемы беспокоят?

31 января, 2013

ОтчетTDSSKiller выходит, но как его сохранить или где его найти?

Изменено 31 января, 2013 пользователем vlad252005

31 января, 2013

ОтчетTDSSKiller выходит, но как его сохранить или где его найти?

в корне диска С его нет?

31 января, 2013

С MBAM у меня ничего не получается, но все остальные процессы провел по инструкции. Все отчеты прилагаю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

TDSSKiller.2.8.15.0_31.01.2013_20.44.39_log.txt

hijackthis.log

Rkill.txt

31 января, 2013

С MBAM у меня ничего не получается

Читали рекомендации по моей ссылке? Что происходит при запуске программы?

Логи RSIT прикрепите. См. правила раздела п.6

31 января, 2013

То же самое выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Много раз нажимаю ОК, после чего выскакивают сообщения ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Все читал, и названия менял, и расширение, ничего не получилось. Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется: mbamext.dll

log.txt

31 января, 2013

Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется

деинсталлировали штатным способом, через Пуск - Панель управления?

Удалите остатки MBAM

Закройте все программы, включая антивирусное программное обеспечение и firewall

Пофиксите в HijackThis следующие строчки

O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

+ сделайте такой лог

Вы удаляли остатки от продуктов Dr.Web? Хвосты все еще видны...

Проблема все еще актуальна?

P.S. можете не торопиться, ваши отчеты смогу проверить только после обеда.

31 января, 2013

Все сделал по Вашей инструкции, все логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

osam.rar

1 февраля, 2013

Вы удаляли остатки от продуктов Dr.Web? Хвосты все еще видны...

вопрос в силе.

1 февраля, 2013

vlad252005, логи RSIT не вижу.

Какие проблемы остались?

Trojan.Win32.Inject.bkiu помогите вылечить!

Рекомендуемые сообщения

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

vlad252005

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum