Помогите с удалением вируса.

Привет всем.
Не понятным и удивительным образом на компьютер попал вирус Trojan-Ransom.Win32.Hexzone.gen.
Антивирусник его не определил.

Файл -- updater_16_179670195.exe
Внутри -- bihlib.dll
Задача -- составить файл *.reg или *.bat для удаления добавленных ключей данной программой.

Вирус делает запись Browser helper object в реестре, после чего в браузере появляется окошко с порно картинками и предложением удалить информер заплатив денежку.
Помогите плиз, составить файл *.reg или *.bat aka *.cmd для удаления необходимых ключей реестара, хотя бы покажите заготовку.

Ниже представлен список ключей реестра и добавленных файлов.
----------------------------------
Новые разделы:44
----------------------------------

Code:

HKLM\SOFTWARE\Classes\AppID\bihlib.DLL
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\Programmable
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}

----------------------------------
Новые параметры:50
----------------------------------

Code:

HKLM\SOFTWARE\Classes\AppID\bihlib.DLL\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}\: "bihlib"
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{070E2C5C-40D8-4A0A-9F39-9C642B5662DA}: 62 00 69 00 68 00 6C 00 69 00 62 00 2E 00 64 00 6C 00 6C 00
HKLM\SOFTWARE\Classes\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{E4BF93C1-D1E0-422E-82C1-8338FE72BA0B}: 7B 00 34 00 39 00 38 00 38 00 39 00 31 00 45 00 39 00 2D 00 38 00 35 00 43 00 46 00 2D 00 34 00 31 00 32 00 32 00 2D 00 38 00 41 00 46 00 38 00 2D 00 41 00 32 00 39 00 43 00 38 00 30 00 42 00 30 00 34 00 45 00 41 00 31 00 7D 00
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\InProcServer32\ThreadingModel: "Both"
HKLM\SOFTWARE\Classes\CLSID\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "PSFactoryBuffer"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\VersionIndependentProgID\: "bihlib.AClass"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\ProgID\: "bihlib.AClass.1"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "WV Data Extension"
HKLM\SOFTWARE\Classes\CLSID\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\VersionIndependentProgID\: "bihlib.BClass"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\ProgID\: "bihlib.BClass.1"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\: "JetMimeFiltr Class"
HKLM\SOFTWARE\Classes\CLSID\{9154A11E-8DE3-442B-94F9-73D72FE2C694}\AppID: "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{2FA3A386-0227-4AC8-9C83-AE22839DADFD}\: "IJetMimeFiltr"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\: "{229E2239-8136-424F-96BA-6D051D997D62}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\TypeLib\Version: "1.0"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid32\: "{2FA3A386-0227-4AC8-9C83-AE22839DADFD}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\ProxyStubClsid\: "{00020424-0000-0000-C000-000000000046}"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\NumMethods\: "7"
HKLM\SOFTWARE\Classes\Interface\{859C28F2-85BE-4A29-908B-EFF4760C0F53}\: "IJetVideoPlugin"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\0\win32\: "C:\WINDOWS\system32\bihlib.dll"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\HELPDIR\: "C:\WINDOWS\system32\"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\FLAGS\: "0"
HKLM\SOFTWARE\Classes\TypeLib\{229E2239-8136-424F-96BA-6D051D997D62}\1.0\: "bihlib Type Library"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CurVer\: "3"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\CLSID\: "{9154A11E-8DE3-442B-94F9-73D72FE2C694}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1\: "bihlibB Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CurVer\: "2"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin\: "bihlibA Class"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\CLSID\: "{498891E9-85CF-4122-8AF8-A29C80B04EA1}"
HKLM\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1\: "bihlibA Class"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\: "bihlibP"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{498891E9-85CF-4122-8AF8-A29C80B04EA1}\NoExplorer: 0x00000001

На http://virusinfo.info/showthread.php?t=30664 что-то подобно писалось, но там точного ответа ненашел

 

Тебе надо удалить вышеприведенные ключи? в автоматическом режиме?

 

ДА Ога.
Ведь я не буду же объяснять девушке, у кторой на компе этот вирус, что такое реестр и как пользоваться Руг органайзером

 

лучше скачай отсюда скрипт специальный.
http://dump.ru/file/1194450

 

on error resume next
set s=CreateObject("wscript.shell")
И так понятно что это VBS
что значит on error resume next ?
Жаль я не успел сохранить код на VBS первоначального вашего ответа =\
Скрипт я скачал, при запуске вышла ошибка о не завершенной строковой константе.
Ошибки исправил.
через 2 минуту отпишу получилось удалить вирус или нет.

 

on error resume next - игнорировать ошибки скрипта

 

Скрипт запустил, но порнушка всеравно была в браузере.
поле удаления из папки sysytem32 файла bihlib.dll
браузер вроде не стал выдавать то окошко.
Возможно, что после перезагрузки вирус удалится окончательно.
Работу скрипта относительно реестра проверю позже.
Спасибо за помощь

 

проверь Outpost Firewall'ом

 

Это известная зараза. сам недавно заразился:
лечится разными способами:
1. С помошью антивируса NOD 32. (malware сидят в system32)
даже могу сказать точно:

Code:

c:\windows\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
c:\windows\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\mwwlib.dll - модифицированный Win32/BHO.NIJ троян
C:\WINDOWS\system32\amylib.dll - модифицированный Win32/BHO.NIJ троян

2. скачать ЭТО, потом system security > plugins security analisys, показывает все untrusted plugins и удалить оттуда информера.
3. С помошю Dr.Web™ CureIt! (сканировать просто и удалить malware)
4. Скачать AVZ, потом в меню файл - выполнить скрипт:

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{4CC691D1-2EED-4622-A13E-E9366D04C57F}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('C:\WINDOWS\system32\rjylib.dll','');
 DeleteFile('C:\WINDOWS\system32\rjylib.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Мне пока столько вариантов известно )))))

 

кто может дать этот вирь чистый или криптованный?
он с dll вместе?

курил malwaredomainlist.com, ниодной рабочей ссылки не нашел =(