Решена - Прекращена работа Internet Explorer, вирус Trojan.Win32.Inject.bkiu

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем piv_, 2 окт 2011.

  1. piv_

    piv_ New Member

    Здравствуйте. Перестали работать браузеры(Все). Ос W7.
    IE пишет "Прекращена работа IE" и далее "IE не работает. Закрыть программу" Жму закрыть - все повторяется по кругу: "Прекращена работа IE", "IE не работает. Закрыть программу" (Окно IE, при этом остается открытым и пустым).
    Chrome - долго "думает", затем сообщает "Страница не отвечает на запросы".
    Мозила тоже вылетала. Только, что переустановил. Она работает, но постоянно появляется баннер с предупреждением о заражении моего компьютера вирусом Trojan.Win32.Inject.bkiu и предложением установить какое-то обновление, но для этого необходимо послать sms (рублей 300, я думаю). При переходе по каким-либо ссылкам в открываемых окнах появляется исходный код страницы.

    Мои логи:
    http://webfile.ru/5579124
    http://webfile.ru/5579130
    http://webfile.ru/5579133

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили у себя этот вирус:

    - Сделайте Логи как показано в -
    - Создайте тему в разделе по борьбе с вирусами, с кратким описанием своей проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
    Последнее редактирование: 2 окт 2011
  2. oleg

    oleg Эксперт - Вирусоборец Команда форума

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\Windows\system32\ntxzvrj.dll');
     DeleteFile('C:\RECYCLER\S-1-5-21-73586283-1979792683-1801674531-500\Dc16.pif');
     DeleteFile('C:\RECYCLER\S-1-5-21-73586283-1979792683-1801674531-500\Dc17.pif');
     DeleteFile('C:\RECYCLER\S-1-5-21-73586283-1979792683-1801674531-500\Dc19.pif');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O20 - AppInit_DLLs: C:\Windows\system32\ntxzvrj.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. piv_

    piv_ New Member

    Вирус исчез, браузеры заработали. :) Огромное спасибо!

    http://webfile.ru/5583215 - лог полученный в п.6
     
    Последнее редактирование: 4 окт 2011
  4. oleg

    oleg Эксперт - Вирусоборец Команда форума

    Да, выполните пункт 6
     
  5. piv_

    piv_ New Member

    http://webfile.ru/5583215
     

Поделиться этой страницей