Как избавиться и защититься от трояна Trojan.Win32.Inject.aohy.

Тема в разделе "Обзоры новых вирусов", создана пользователем X-Shar, 16 июн 2012.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Если в браузере при интернет-серфинге выводится следующее сообщение: "В системе обнаружен вирус. Использование интернета нежелательно. Браузер зафиксировал попытки внесения изменений в его работу. Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуем немедленно установить последнее обновление безопасности браузера."

    95c518cefdd0.

    При этом закрыт доступ к сайтам odnoklassniki.ru, vkontakte.ru, сайтам антивирусных компаний и нет возможности скачивать файлы из сети.

    Как удалить:

    Скачиваем во вложении следующее антивирусное средство: avz.

    Далее необходимо загрузить операционную систему в безопасном режиме и выполнить в avz два скрипта.

    Чтобы выполнить скрипт жмем "файл - выполнить скрипт" и копируем в окошко строки скрипта. После выполнения первого система автоматически перезагрузится, затем необходимо будет заново загрузится в безопасном режиме.

    Первый скрипт:

    begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(True);

    QuarantineFile('C:\WINDOWS\system32\bswngaa.dll','');

    DeleteFile('C:\WINDOWS\system32\bswngaa.dll');

    QuarantineFile('c:\windows\kmservice.exe','');

    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\WINDOWS\system32\vksaver.dll');

    BC_ImportAll;

    ExecuteSysClean;

    ExecuteWizard('TSW', 2, 2, true);

    ExecuteWizard('SCU', 2, 2, true);

    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);

    BC_Activate;

    RebootWindows(true);

    end.

    Первый скрипт (второй вариант):
    begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(True);

    QuarantineFile('C:\WINDOWS\system32\bswngaa.dll','');

    DeleteFile('C:\WINDOWS\system32\bswngaa.dll');

    QuarantineFile('c:\windows\kmservice.exe','');

    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');

    BC_ImportAll;

    ExecuteSysClean;

    ExecuteWizard('TSW', 2, 2, true);

    ExecuteWizard('SCU', 2, 2, true);

    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);

    BC_Activate;

    RebootWindows(true);

    end.

    Второй скрипт:

    begin

    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

    end.

    После выполнения вышеописанных операций загружаем операционную систему в обычном режиме. Все должно работать.

    Если не помогло,то вот IP с которого грузятся всплывающие окошки: 194.247.58.26, просто блокируем его в хостах, или в файерволе !

    Как защитится:

    1)Обновить Java;
    2)Обновить Adobe Flash Player;
    3)Обновить браузеры.
     

    Вложения:

    • avz4.zip
      Размер файла
      7,7 МБ
      Просмотров:
      0
    • Мне нравится Мне нравится x 3
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ещё один вариант лечения:

    1)Попадаем в реестр Windows: Пуск->Выполнить, пишем regedit, OK.
    В реестре ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows там ищем поле AppInit_DLLs, в этом поле будет следующее значение C:\WINDOWS\system32\X.dll, его меняем на 0, обязательно на 0, т.к. в другом случае значение будет автоматически восстанавливаться.
    Также рекомендую изменить значение поля LoadAppInit_DLLs в той же ветке на 0
    2)Перезагружаемся.
    3)Идем в C:\WINDOWS\system32\ ищем X.dll и удаляем его. Можно сделать еще перезагрузку, но не обязательно.

     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей