Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)
-   -   Помогите с удалением вируса. (https://forum.antichat.xyz/showthread.php?t=90965)

mrkr 08.11.2008 19:30
Помогите с удалением вируса.
 
Привет всем.
Не понятным и удивительным образом на компьютер попал вирус Trojan-Ransom.Win32.Hexzone.gen.
Антивирусник его не определил.

Файл -- updater_16_179670195.exe
Внутри -- bihlib.dll
Задача -- составить файл *.reg или *.bat для удаления добавленных ключей данной программой.

Вирус делает запись Browser helper object в реестре, после чего в браузере появляется окошко с порно картинками и предложением удалить информер заплатив денежку.
Помогите плиз, составить файл *.reg или *.bat aka *.cmd :) для удаления необходимых ключей реестара, хотя бы покажите заготовку.

Ниже представлен список ключей реестра и добавленных файлов.
----------------------------------
Новые разделы:44
----------------------------------
Код:
HKLM\SOFTWARE\Classes\AppID\bihlib.DLL
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}
----------------------------------
Новые параметры:50
----------------------------------
Код:
HKLM\SOFTWARE\Classes\AppID\bihlib.DLL\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}\: "bihlib"
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{070E2C5C-40D8-4A0A-9F39-9C642B5662DA}: 62 00 69 00 68 00 6C 00 69 00 62 00 2E 00 64 00 6C 00 6C 00
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{E4BF93C1-D1E0-422E-82C1-8338FE72BA0B}: 7B 00 34 00 39 00 38 00 38 00 39 00 31 00 45 00 39 00 2D 00 38 00 35 00 43 00 46 00 2D 00 34 00 31 00 32 00 32 00 2D 00 38 00 41 00 46 00 38 00 2D 00 41 00 32 00 39 00 43 00 38 00 30 00 42 00 30 00 34 00 45 00 41 00 31 00 7D 00
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\ThreadingModel: "Both"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "PSFactoryBuffer"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID\: "bihlib.AClass"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID\: "bihlib.AClass.1"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "WV Data Extension"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID\: "bihlib.BClass"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID\: "bihlib.BClass.1"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\: "JetMimeFiltr Class"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "IJetMimeFiltr"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\: "IJetVideoPlugin"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR\: "C:\WINDOWS\system32\"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS\: "0"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\: "bihlib Type Library"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer\: "3"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer\: "2"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\: "bihlibA Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\: "bihlibA Class"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "bihlibP"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\NoExplorer: 0x00000001
На http://virusinfo.info/showthread.php?t=30664 что-то подобно писалось, но там точного ответа ненашел

NeXArmAor 08.11.2008 19:38
Тебе надо удалить вышеприведенные ключи? в автоматическом режиме?

mrkr 08.11.2008 19:44
Цитата:
Сообщение от NeXArmAor
Тебе надо удалить вышеприведенные ключи? в автоматическом режиме?
ДА Ога.
Ведь я не буду же объяснять девушке, у кторой на компе этот вирус, что такое реестр и как пользоваться Руг органайзером :)

NeXArmAor 08.11.2008 19:58
лучше скачай отсюда скрипт специальный.
http://dump.ru/file/1194450

mrkr 08.11.2008 20:11
on error resume next
set s=CreateObject("wscript.shell")
И так понятно что это VBS :)
что значит on error resume next ?
Жаль я не успел сохранить код на VBS первоначального вашего ответа =\
Скрипт я скачал, при запуске вышла ошибка о не завершенной строковой константе.
Ошибки исправил.
через 2 минуту отпишу получилось удалить вирус или нет.

NeXArmAor 08.11.2008 20:14
on error resume next - игнорировать ошибки скрипта

mrkr 08.11.2008 20:23
Скрипт запустил, но порнушка всеравно была в браузере.
поле удаления из папки sysytem32 файла bihlib.dll
браузер вроде не стал выдавать то окошко.
Возможно, что после перезагрузки вирус удалится окончательно.
Работу скрипта относительно реестра проверю позже.
Спасибо за помощь :)

Avant 08.11.2008 20:33
проверь Outpost Firewall'ом

B1t.exe 08.11.2008 21:16
Это известная зараза. сам недавно заразился:
лечится разными способами:
1. С помошью антивируса NOD 32. (malware сидят в system32)
даже могу сказать точно:
Код:
c:\windows\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
c:\windows\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян
2. скачать ЭТО, потом system security > plugins security analisys, показывает все untrusted plugins и удалить оттуда информера.
3. С помошю Dr.Web™ CureIt! (сканировать просто и удалить malware)
4. Скачать AVZ, потом в меню файл - выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{4CC691D1-2EED-4622-A13E-E9366D04C57F}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('C:\WINDOWS\system32\rjylib.dll','');
 DeleteFile('C:\WINDOWS\system32\rjylib.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Мне пока столько вариантов известно :))))))

ICQ Hool 23.12.2008 18:14
кто может дать этот вирь чистый или криптованный?
он с dll вместе?

курил malwaredomainlist.com, ниодной рабочей ссылки не нашел =(


Время: 08:54