Решена - вирус Trojan.Win32.bkiu, помогите

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем hulk, 13 окт 2011.

Статус темы:
Закрыта.
  1. hulk

    hulk Newbie

    по всех браузерах через несколько минут работы:
    перестает полностью скачивать код страницы и отображает только часть кода.
    перекидывает на сайт http://internet.com/ что типа у меня очень низкий отклик.
    или иногда просто не открывает страницу, типа интернер не подключен.


    прочитал тему такую же. сделал как было сказано.

    http://webfile.ru/5600905 --- hijackthis.log
    http://webfile.ru/5600907 --- mbam-log-2011-10-13 (01-29-10).txt


    при каждом выплывании окошка что вам нужно обновить защиту браузера, программа MBAM фиксирует выход(исходящее) соединение на опасный ип-адрес.

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили у себя этот вирус:

    - Сделайте Логи как показано в -
    - Создайте тему в разделе по борьбе с вирусами, с кратким описанием своей проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
  2. oleg

    oleg Expert Вирусоборец

    Почему не сделали Лог AVZ!?

    Сделать его можно следующим образом:

    Запустите AVZ, обновите базы (файл->обновление баз) и выполните стандартный скрипт 3 и 2
    ■ Дождитесь завершения процесса (появится сообщение Скрипты выполнены).
    ■ После чего в папке avz появится папка LOG, в ней найдите 2 архива:
    virusinfo_sysCURE.zip и virusinfo_sysCHEK.zip.
    ■ Эти 2 архива, разместите на любом файлообменнике (например webfile.ru, указав в своей теме ссылки на эти файлы.
    Внимание: После выполнения данного шага обязательно перезагрузите компьютер.
     
  3. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\WINDOWS\system32\gesxyak.dll');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O4 - Startup: DeskPins.lnk = C:\Program Files\DeskPins\DeskPins.exe
    O4 - Startup: routeadd.bat
    [COLOR=Blue]Если вам не знакомы следующие DNS адреса, пофиксите эту строчку ниже:
    [B]NameServer = 172.16.46.254,[URL="http://www.hijackthis.de/whois.php"]192.19.32.2[/URL][/B][/COLOR]
    O20 - AppInit_DLLs: C:\WINDOWS\system32\gesxyak.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll
    

    5.Удалите в MBAM следующее:


    6. Сделайте новые логи AVZ, HijackThis и MBAM

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  4. hulk

    hulk Newbie

    в AVZ не создается лог в папке, после скрипта комп сразу перезагружается, а после проверки ничего не происходит.

    и в HijackThis не было
    NameServer = 172.16.46.254,192.19.32.2

    в MBAM все удалил что было написано.
    AVPTool тоже пускал но он ничего уже не нашел.

    щас проверяю как работает.
     
  5. oleg

    oleg Expert Вирусоборец

    проблема решена?
     
  6. hulk

    hulk Newbie

    да, спасибо, пока без сбоев!
     
Статус темы:
Закрыта.

Поделиться этой страницей