Trojan.Win32.Inject.bkiu помогите вылечить!

[vlad252005]

Tiare,

по ссылке я перешел, остатки Dr.Web почистил, вроде не должны быть видны. RSIT сделал, лог пприкреплен.

log.txt

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\1336DFB1E.sys');
DeleteFile('C:\WINDOWS\Temp\97E0B831.sys');
DeleteService('97E0B831');
DeleteService('1336DFB1E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- обновите Java до актуальной версии

 

 

Сделайте контрольные логи AVZ и RSIT.

 

 

 

Как самочувствие компьютера? Есть проблемы?

[vlad252005]

Сейчас, спасибо Вам!, все уже нормально, раньше постоянно какое-то черное окно с текстом выскакивало на 20 сек, mail.ru не открывался, и при каждой новой странице выскакивало то окно. Сейчас ничего такого нет, уже все нормально. Сейчас сделаю логи.

 

Новую Java установил, скрипты сделал.

 

Судя по всему вирус еще есть, вчера не было проблем со входом в соц. сети, сегодня снова не впускает...

 

Судя по всему снова вирус активировался. Вчера не было проблем со входом в соц. сети, сегодня снова не могу войти, просит прислать смс.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

[Tiare]

нет, это что-то новенькое уже. Зачем восстановление системы отключили? Включайте, и создайте новую точку восстановления.

 

 

Пофиксите в HijackThis следующие строчки.

O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 87811111
O1 - Hosts: 92.114.82.193 my.mail.ru
O1 - Hosts: 92.114.82.193 m.my.mail.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.vk.com
O1 - Hosts: 92.114.82.193 odnoklassniki.ru
O1 - Hosts: 92.114.82.193 vk.com
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru
O1 - Hosts: 92.114.82.193 ok.ru
O1 - Hosts: 92.114.82.193 m.ok.ru
O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru

 

Что в папке C:\Program Files\kolobrod? Покажите содержимое (можно скриншот)

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\WINDOWS\kmsem\KMService.exe

 

 

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.

 

 

У вас все обновления на ОС установлены?

[vlad252005]

Строчки в в HijackThis профиксил

Скриншоты приложил.

Результаты сканирования папки kolobrod:

https://www.virustotal.com/file/8a016675279...sis/1359734875/

https://www.virustotal.com/file/de03e7994df...sis/1359735049/

https://www.virustotal.com/file/d5f8a2a7a77...sis/1359735326/

https://www.virustotal.com/file/b77446a3927...sis/1359735424/

 

Код

C:\WINDOWS\kmsem\KMService.exe

 

 

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.

 

Я не понял что это за код (C:\WINDOWS\kmsem\KMService.exe

), и что с ним делать...

Как выгрузить все защитное ПО и драйвера виртуальных приводов? Sorry, но я к сожалению не знаю, никогда этим сам не занимался.

Изменено 1 февраля, 2013 пользователем vlad252005

[Tiare]

Результаты сканирования папки kolobrod:

Вот он ваш новый зловред. Что вы такое скачивали, откуда эта папка? Папку пока не удалять! Отправим на анализ

 

Я не понял что это за код

C:\WINDOWS\kmsem\KMService.exe

проверить на Вирустотал

 

Как выгрузить все защитное ПО

Выгрузите антивирус и др. защитное ПО (если есть).

[vlad252005]

C:\WINDOWS\kmsem\KMService.exe

Не могу найти эту папку

[Tiare]

выполняйте остальные рекомендации.

 

+

Что вы такое скачивали, откуда эта папка Program Files\kolobrod?

 

 

ВСЕ обновления установлены на ОС?

[vlad252005]

Скпчивал только Opera и Adobe flash player. Все обновления ОС стоят.

[Roman_Five]

Скпчивал только Opera и Adobe flash player.

Revo Uninstaller скачивали и ставили? не с официального сайта?

[vlad252005]

Да, кстати, точно, пытался установить.

[Roman_Five]

Напомню незакрытые вопросы:

+ Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов.

ВСЕ обновления установлены на ОС?

[vlad252005]

лог GMER сейчас делаю, обновления ОС все установлены.

 

Вроде сделал...

GMER.log

[Roman_Five]

Вроде сделал...

какой-то он незавершённый...

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\windows\kmsem\kmservice.exe');
QuarantineFile('C:\Program Files\kolobrod\*.*','');
QuarantineFile('c:\windows\kmsem\kmservice.exe','');
DeleteFileMask('C:\Program Files\kolobrod\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\kolobrod\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

 

обновления ОС все установлены

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[vlad252005]

Ок, сейчас все сделаю.

 

1. файл Quarantine.zip из папки AVZ отправил через Личный кабинет.

2. Malwarebytes' Anti-Malware все так же не устанавливается. При установке выпадает сообщение CoCreateInstance: сбой; код 0x80040154.

Класс не зарегистрирован.

Много раз нажимаю Ок., и когда высвечивается окно завершения, снимаю галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO ", после чего выходит сообщение:

ошибка Run-time error `372`:

Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application.

3. Выполните в AVZ скрипт из файла ScanVuln.txt - скрипт выполнил, но вот файл avz_log.txt не нашел.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log