• Главная →
• удаление вирусов →
• удаление баннеров Trojan.Winlock →
• удаление баннера Trojan.Win32.Inject.aohy из браузера

Сообщение: браузер зафиксировал попытки внесения изменений в его работу

Друзья, ранее я уже писал статью о блокировке компьютера смс баннерами. В ней я описал подробную инструкцию по удалению данного блокиратора. В настоящее время пик заражения компьютеров смс баннерами немного спал. Об этом я сужу по статистике личного сайта и по обращению клиентов за помощью. Но! Появилась новая угроза в виде вируса Trojan.Win32.Inject.aohy.

Признаки заражения компьютера трояном Trojan.Win32.Inject.aohy:

При попытке выхода в интернет появляется сообщение о том, что браузер зафиксировал попытки внесения изменений в его работу и во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах рекомендуется немедленно установить последнее обновление безопасности браузера.

В этом же окне предлагается сразу обновить браузер (Internet Explorer, Opera или FireFox – в зависимости от того, в котором вы работаете.) Внимание! Ни в коем случае не пытайтесь выполнить обновление! За обновление попросят перевести денег. Если выбрать вариант оплаты через смс, получите сообщение: Отправьте SMS c текстом 1108985900451 на номер 3381 (номер и текст сообщения постоянно меняются). Но в результате в процессе обновления баннер не пропадет и вы лишь потеряете деньги. Это вирус! Его нужно удалять в ручную!

Процесс удаления вируса

Внимание: компьютер следует отключить от интернета. Когда я выполняю ремонт компьютера клиента и удаляю данный вирус, то обязательно загружаюсь в безопасный режим. Как загрузиться в безопасный режим? очень просто: после включения компьютера нажимайте клавишу F8. Затем при появлении соответствующего меню выберите загрузка в безопасном режиме.

Итак, загрузились. Первое с чего следует начать - это очистить все хранилища временных файлов и папок.

• C:\Windows\Temp
• C:\Documents and Settings\профиль пользователя\Local Settings\Temp
• C:\Documents and Settings\профиль пользователя\Local Settings\Temporary Internet Files

Далее следует зайти в реестр. Как зайти в реестр? Нажимаем на кнопку меню Пуск-выполнить и пишем regedit. Ищем ветку указанную на скриншоте ниже.

Нашли? Отлично! Далее в правом окне ищем ключ Userinit. Он должен иметь следующее значение: C:\windows\system32\userinit.exe, и ничего больше. Обратите внимание на запятую в конце - ее тоже следует указать.

В моем случае после запятой опять прописалась какая то "хрень". Очевидно это вирус. Скрин прилагаю ниже.

Итак, вычищаем все лишнее, но запоминаем название и путь к файлу вирусу. В моем случае вирус назывался mpk.exe - по описанию это еще и кей логгер, который запоминает введенные данные и ворует пароли. Я промониторил несколько файлов этого вируса и оказалось, что моя личнаяи нформация действительно писалась в них. Пришлось быстро менять все пароли.

Идем по пути в Application Data\MPP и удаляем все файлы оттуда. Один файл удалить не удалось, так как использовался системой. Значит этот процесс загружен и сидит в системе. На помощь нам приходит утилита Unlocker, которая помогла мне найти еще один файл вируса в папке system32 и удалить его.

Далее выполняем сброс настроек в используемых браузерах на значения по умолчанию.

После всех этих операций прогоняем комп утилитами trojan remover и Drweb CureIt.

P.S. Друзья, не забывайте что файл вируса может иметь любое название. Как правило имена файлов генерятся автоматически из произвольных букв. Я не могу описать полностью все тонкости удаления вирусов, так как большинство случаев индивидуальны, но я стараюсь помочь Вам решить ваши проблемы с помощью моего сайта! На этом все! Спасибо за внимание!