Перейти к содержанию

Trojan.Win32.Inject.bkiu помогите вылечить!


Рекомендуемые сообщения

Цепанул заразу когда отключал антивирус Avira. Во время открытия новых страниц, на 19-20 секунд открывается черный экран, с каким-то текстом в Юникоде. Не могу установить Opera, выдает предложение с обновлением, так как есть угроза Trojan.Win32.Inject.bkiu. В почту невозможно зайти, все блокируется. Пробовал программы Dr. Web CureIt!, Kaspersky Virus Removal Tool 2011, ничего не помогло, вируса не видят. Please, help!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Posted Images

vlad252005, здравствуйте.

 

Ох, и много же заразы у вас побывало... Сначала уберем основное, потом подчистим хвосты.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

Пофиксите в HijackThis следующие строчки.

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\ssxjkvn.dll

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ssxjkvn.dll','');
DeleteFile('C:\WINDOWS\system32\ssxjkvn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

У вас все обновления ОС установлены? Если нет - установите в обязательном порядке, как только восстановится работа системы, иначе лечение будет бесконечным!

Ссылка на сообщение
Поделиться на другие сайты

Большое спасибо за ответ!

Все сделал как вы сказали, но при установке Malwarebytes' Anti-Malware мне выдается ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. - базы загрузл, они обновились без проблем, но вот программа не устанавливается(

 

Так же при установке выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Ссылка на сообщение
Поделиться на другие сайты

Давайте попробуем так.

 

Создайте новую контрольную точку восстановления.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\589.exe','');
QuarantineFile('C:\WINDOWS\Temp\472.exe','');
QuarantineFile('C:\WINDOWS\Temp\651.exe','');
QuarantineFile('C:\WINDOWS\Temp\2913659.exe','');
QuarantineFile('C:\Documents and Settings\ALDAIR\hesc.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
DeleteFile('C:\WINDOWS\Temp\589.exe');
DeleteFile('C:\WINDOWS\Temp\472.exe');
DeleteFile('C:\WINDOWS\Temp\651.exe');
DeleteFile('C:\WINDOWS\Temp\2913659.exe');
DeleteFile('C:\Documents and Settings\ALDAIR\hesc.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
DeleteFile('C:\WINDOWS\wjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\589.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\472.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\651.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\2913659.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\ALDAIR\hesc.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Shell');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\141297140');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Taskman');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ALDAIR^Главное меню^Программы^Автозагрузка^cleartemp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

 

+ Сделайте лог TDSSKiller (если в обычном режиме утилита не запустится, сделайте лог в безопасном). Инструкция тут.

Ссылка на сообщение
Поделиться на другие сайты

Отправил файл Quarantine.zip из папки AVZ. Пока жду ответа на запрос. Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

Ссылка на сообщение
Поделиться на другие сайты
Сделал лог TDSSKiller, вирусов не обнаружил, показал что все чисто.

хорошо, отчет покажите.

 

 

+ Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

?

 

 

Удалите остатки от Dr.Web (ссылка в подписи)

 

 

Попробуйте сделать лог Malwarebytes' Anti-Malware. Если возникнут проблемы, почитайте тут

 

 

 

Какие проблемы беспокоят?

Ссылка на сообщение
Поделиться на другие сайты

С MBAM у меня ничего не получается, но все остальные процессы провел по инструкции. Все отчеты прилагаю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

TDSSKiller.2.8.15.0_31.01.2013_20.44.39_log.txt

hijackthis.log

Rkill.txt

Ссылка на сообщение
Поделиться на другие сайты
С MBAM у меня ничего не получается

Читали рекомендации по моей ссылке? Что происходит при запуске программы?

 

 

Логи RSIT прикрепите. См. правила раздела п.6

Ссылка на сообщение
Поделиться на другие сайты

То же самое выдается сообщение

CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Много раз нажимаю ОК, после чего выскакивают сообщения ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

Все читал, и названия менял, и расширение, ничего не получилось. Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется: mbamext.dll

log.txt

Ссылка на сообщение
Поделиться на другие сайты
Решил удалить программу, чтоб по-новой установить, но одна папка не удаляется

деинсталлировали штатным способом, через Пуск - Панель управления?

Удалите остатки MBAM

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

Пофиксите в HijackThis следующие строчки

O4 - HKCU\..\Run: [Shell] explorer.exe,C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9028687157-7417500847-077294267-1720\csisf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

+ сделайте такой лог

 

 

Вы удаляли остатки от продуктов Dr.Web? Хвосты все еще видны...

 

 

 

Проблема все еще актуальна?

 

 

 

P.S. можете не торопиться, ваши отчеты смогу проверить только после обеда.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...