Решена - Trojan.win32.inject.bkiu

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Viki<3Ktllef, 31 окт 2011.

Статус темы:
Закрыта.
  1. Viki<3Ktllef

    Viki<3Ktllef Newbie

    Очень прошу помощи ! подхватила trojan.win32.inject.bkiu(так пишет безопасность оперы )

    Частично блокирует работу оперы,все жутко тупит ! вот логи:

    http://webfile.ru/5638388
    http://webfile.ru/5638391


    ЗАранее большое спасибо! Вся надежда на вас ребята ! :)
     
  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('d:\6159689399aae6551bb9\iexplore.exe');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Toolbar\packages\{7A561212-4E46-4EA1-8B11-425B46800CDF}\smartbox.dll');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Toolbar\packages\{C9EB7BBE-642B-4F8C-A0FF-DDDD52D4C89D}\msc.dll');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Toolbar\packages\{D16F3CCB-0EF8-4B3A-88A9-338A3408768A}\srs.dll');
     DeleteFile('C:\WINDOWS\system32\ptzhcna.dll');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\csrss.exe');
     DeleteFile('d:\6159689399aae6551bb9\iexplore.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKCU\..\Run: [QIP Internet Guardian] C:\Documents and Settings\Admin\Application Data\QipGuard\QipGuard.exe /p
    O4 - HKCU\..\Run: [EPSON Stylus CX7300 Series (Копия 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDP.EXE /FU "C:\WINDOWS\TEMP\E_S7015.tmp" /EF "HKCU"
    O4 - HKCU\..\Policies\Explorer\Run: [Skype] C:\Documents and Settings\Admin\Application Data\csrss.exe
    O4 - Startup: Truetransparency.lnk = C:\WINDOWS\Windows Se7en Theme\Truetransparency\TrueTransparency.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\ptzhcna.dll
    
    5. Сделайте новые логи AVZ.

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. Viki<3Ktllef

    Viki<3Ktllef Newbie

    После выполнения пункта 1-6 вируса не стало :))))

    Спасибо огромное за помощь !!! :)))

    Вот лог MBAM http://webfile.ru/5638729
     
  4. oleg

    oleg Expert Вирусоборец

    Обращайтесь. Лечение завершено.
     
Статус темы:
Закрыта.

Поделиться этой страницей