Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Всплывающее окно "В системе обнаружен вирус." (http://forum.oszone.net/showthread.php?t=201848)

JJKey 13-03-2011 04:05 1633589
Всплывающее окно "В системе обнаружен вирус."
 
Люди помогите! Целый день сегодня бъюсь с такой проблемой:
Включил интернет, зашёл на сайт и появилось окно
В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Говорит что виноват во всём вирус trojan.win32.inject.aoho, но проверка антивирусом ничего не дала. Перестал заходить на многие сайты (а то вовсе никуда не заходит до перезагрузки). Кое как посмотрел что это за троян, но ничего такого, что смогло бы вывести эту заразу ненашёл. Тот метод, который я прочитал на одном сайте, на который смог всё таки попасть мне не подходит, так как ничего подобного у меня на первый взгляд нет. Я даже не могу точно сказать есть вирус в системе или нет, т.к. доктор веб (с сегодняшними базами) ничего ненашёл. Остаётся надежда только на помощь знающего человека (((

SolarSpark 13-03-2011 06:33 1633596
JJKey, Доброе утро
Пожалуйста, выполните рекомендации по диагностике полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

zirreX 13-03-2011 23:57 1634238
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\system32\gaxzjjk.dll','');
 DeleteFile('C:\Windows\system32\gaxzjjk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте quarantine.zip из папки AVZ через эту форму.


Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\gaxzjjk.dll
Сделайте новые логи AVZ

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите Adobe Reader до последней версии.

JJKey 14-03-2011 11:18 1634456
...

SolarSpark 14-03-2011 12:27 1634503
смотрю

zirreX 14-03-2011 12:27 1634504
Скрипт в AVZ выполняли? Не вижу, что пофиксили строки в hijackthis.


Удалите в MBAM:

Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8BCB5337-EC01-4E38-840C-A964F174255B} (Adware.SmartShopper) -> No action taken.

Заражённые файлы:
c:\Users\Евгений\AppData\Local\Temp\0.062056576390534635.exe (Trojan.Agent) -> No action taken.
c:\Users\Евгений\AppData\Local\Temp\0.39822486326035744.exe (Trojan.Agent) -> No action taken.
c:\Users\Евгений\AppData\Local\Temp\flash_player_update.exe (Trojan.Agent) -> No action taken.
Код:
c:\Users\Евгений\documents\Keygen.exe (RiskWare.Agent.CK) -> No action taken.
Кейген на ваше усмотрение.

• Отключите:
Компьютер от интернета/локальной сети
Выгрузите антивирус

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\system32\gaxzjjk.dll','');
 QuarantineFile('C:\Windows\system32\9CAB.tmp','');
 DeleteFile('C:\Windows\system32\9CAB.tmp');
 DeleteFile('C:\Windows\system32\gaxzjjk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Windows\system32\gaxzjjk.dll');
BC_Activate;
RebootWindows(true);
end.
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HijackThis
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\gaxzjjk.dll
Сделайте новые логи AVZ и RSIT

JJKey 14-03-2011 16:12 1634687
У меня при выполнении скрипта возникла какая-то проблема...

zirreX 14-03-2011 21:01 1634918
Изменил скрипт.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(true);
 QuarantineFile('C:\Windows\system32\gaxzjjk.dll','');
 QuarantineFile('C:\Windows\system32\9CAB.tmp','');
 DeleteFile('C:\Windows\system32\9CAB.tmp');
 DeleteFile('C:\Windows\system32\gaxzjjk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Windows\system32\gaxzjjk.dll');
BC_Activate;
RebootWindows(true);
end.
Дальше по порядку.

JJKey 15-03-2011 00:23 1635045
За сегодняшний день окно не появилось ни разу :)
Все инструкции выполнил, логи приклепил.

SolarSpark 15-03-2011 07:28 1635114
JJKey, почему делаете логи без обновления баз?
Цитата:
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
по этим логам плохого не видно, но я бы вам рекомендовала для вашей безопасности сделать новые логи AVZ c обновленными базами!

JJKey 15-03-2011 12:39 1635321
Обновил базы, сделал логи.

zirreX 15-03-2011 13:02 1635343
В логах чисто. :)

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам:
- не работать за компьютером с правами администратора
- использовать браузер Firefox с дополнением NoScript.
(Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения)
- регулярно устанавливать обновления Windows
- обновлять антивирусные базы

JJKey 15-03-2011 13:25 1635366
Всё сделал :) Уже второй день как окно не появляется. Огромное вам спасибо!!!


Время: 07:08.

Время: 07:08.
© OSzone.net 2001-2025