Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Помогите с удалением вируса. |
08.11.2008, 19:30
|
|
Новичок
Регистрация: 08.11.2008
Сообщений: 4
Провел на форуме:
5208
Репутация:
0
|
|
Помогите с удалением вируса.
Привет всем.
Не понятным и удивительным образом на компьютер попал вирус Trojan-Ransom.Win32.Hexzone.gen.
Антивирусник его не определил.
Файл -- updater_16_179670195.exe
Внутри -- bihlib.dll
Задача -- составить файл *.reg или *.bat для удаления добавленных ключей данной программой.
Вирус делает запись Browser helper object в реестре, после чего в браузере появляется окошко с порно картинками и предложением удалить информер заплатив денежку.
Помогите плиз, составить файл *.reg или *.bat aka *.cmd  для удаления необходимых ключей реестара, хотя бы покажите заготовку.
Ниже представлен список ключей реестра и добавленных файлов.
----------------------------------
Новые разделы:44
----------------------------------
Код:
HKLM\SOFTWARE\Classes\AppID\bihlib.DLL
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}
----------------------------------
Новые параметры:50
----------------------------------
Код:
HKLM\SOFTWARE\Classes\AppID\bihlib.DLL\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}\: "bihlib"
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{070E2C5C-40D8-4A0A-9F39-9C642B5662DA}: 62 00 69 00 68 00 6C 00 69 00 62 00 2E 00 64 00 6C 00 6C 00
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{E4BF93C1-D1E0-422E-82C1-8338FE72BA0B}: 7B 00 34 00 39 00 38 00 38 00 39 00 31 00 45 00 39 00 2D 00 38 00 35 00 43 00 46 00 2D 00 34 00 31 00 32 00 32 00 2D 00 38 00 41 00 46 00 38 00 2D 00 41 00 32 00 39 00 43 00 38 00 30 00 42 00 30 00 34 00 45 00 41 00 31 00 7D 00
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\ThreadingModel: "Both"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "PSFactoryBuffer"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID\: "bihlib.AClass"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID\: "bihlib.AClass.1"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "WV Data Extension"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID\: "bihlib.BClass"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID\: "bihlib.BClass.1"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\: "JetMimeFiltr Class"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "IJetMimeFiltr"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\: "IJetVideoPlugin"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR\: "C:\WINDOWS\system32\"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS\: "0"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\: "bihlib Type Library"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer\: "3"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer\: "2"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\: "bihlibA Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\: "bihlibA Class"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "bihlibP"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\NoExplorer: 0x00000001
На http://virusinfo.info/showthread.php?t=30664 что-то подобно писалось, но там точного ответа ненашел |
|
|
08.11.2008, 19:38
|
|
Участник форума
Регистрация: 21.04.2007
Сообщений: 289
Провел на форуме:
4612647
Репутация:
368
|
|
Тебе надо удалить вышеприведенные ключи? в автоматическом режиме?
|
|
|
|
08.11.2008, 19:44
|
|
Новичок
Регистрация: 08.11.2008
Сообщений: 4
Провел на форуме:
5208
Репутация:
0
|
|
Сообщение от NeXArmAor
Тебе надо удалить вышеприведенные ключи? в автоматическом режиме?
ДА Ога.
Ведь я не буду же объяснять девушке, у кторой на компе этот вирус, что такое реестр и как пользоваться Руг органайзером
|
|
|
|
08.11.2008, 19:58
|
|
Участник форума
Регистрация: 21.04.2007
Сообщений: 289
Провел на форуме:
4612647
Репутация:
368
|
|
лучше скачай отсюда скрипт специальный.
http://dump.ru/file/1194450
|
|
|
|
08.11.2008, 20:11
|
|
Новичок
Регистрация: 08.11.2008
Сообщений: 4
Провел на форуме:
5208
Репутация:
0
|
|
on error resume next
set s=CreateObject("wscript.shell")
И так понятно что это VBS
что значит on error resume next ?
Жаль я не успел сохранить код на VBS первоначального вашего ответа =\
Скрипт я скачал, при запуске вышла ошибка о не завершенной строковой константе.
Ошибки исправил.
через 2 минуту отпишу получилось удалить вирус или нет. |
|
|
|
08.11.2008, 20:14
|
|
Участник форума
Регистрация: 21.04.2007
Сообщений: 289
Провел на форуме:
4612647
Репутация:
368
|
|
on error resume next - игнорировать ошибки скрипта
|
|
|
|
08.11.2008, 20:23
|
|
Новичок
Регистрация: 08.11.2008
Сообщений: 4
Провел на форуме:
5208
Репутация:
0
|
|
Скрипт запустил, но порнушка всеравно была в браузере.
поле удаления из папки sysytem32 файла bihlib.dll
браузер вроде не стал выдавать то окошко.
Возможно, что после перезагрузки вирус удалится окончательно.
Работу скрипта относительно реестра проверю позже.
Спасибо за помощь |
|
|
|
08.11.2008, 20:33
|
|
Участник форума
Регистрация: 09.08.2007
Сообщений: 145
Провел на форуме:
201948
Репутация:
33
|
|
проверь Outpost Firewall'ом
|
|
|
|
08.11.2008, 21:16
|
|
Постоянный
Регистрация: 06.11.2006
Сообщений: 865
Провел на форуме:
1977708
Репутация:
208
|
|
Это известная зараза. сам недавно заразился:
лечится разными способами:
1. С помошью антивируса NOD 32. (malware сидят в system32)
даже могу сказать точно:
Код:
c:\windows\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
c:\windows\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян
2. скачать ЭТО, потом system security > plugins security analisys, показывает все untrusted plugins и удалить оттуда информера.
3. С помошю Dr.Web™ CureIt! (сканировать просто и удалить malware)
4. Скачать AVZ, потом в меню файл - выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{4CC691D1-2EED-4622-A13E-E9366D04C57F}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\rjylib.dll','');
DeleteFile('C:\WINDOWS\system32\rjylib.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Мне пока столько вариантов известно )))))
Последний раз редактировалось B1t.exe; 08.11.2008 в 21:19..
|
|
|
|
23.12.2008, 18:14
|
|
Участник форума
Регистрация: 31.03.2008
Сообщений: 143
Провел на форуме:
403124
Репутация:
95
|
|
кто может дать этот вирь чистый или криптованный?
он с dll вместе?
курил malwaredomainlist.com, ниодной рабочей ссылки не нашел =(
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
