Показано с 1 по 15 из 15.

При запуске приложений появляется Dos окно (заявка № 50556)

  1. #1
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54

    Thumbs up При запуске приложений появляется Dos окно

    При запуске любого приложения появляется Dos окно с таким содержимым:

    :certgr >> LibMain: DLL_PROCESS_ATTACH, hInstDLL=0
    :certgr >> DllRegisterServer called
    :certgr >> DllRegisterServer: crypt32 found, installing cert hooks
    :certgr >> SetHooks called
    :certgr >> __IAT_HookAPI: lpszDllName=crypt32
    :certgr >> IAT_HookAPI: dwAPIHash=D05820FF
    :certgr >> IAT_HookAPI: lpHookFunc=00834318
    :certgr >> NB: single-thread decr in APIstatic buff used=
    :certgr >> GetAPINameByHash: PFXImportCertStore
    :certgr >> IAT_HookAPI: lpOrigFunc addr found=77ADFF8F
    :certgr >> __IAT_HookAPI: lpszDllName=crypt32
    :certgr >> IAT_HookAPI: dwAPIHash=E5EC3AE9
    :certgr >> IAT_HookAPI: lpHookFunc=008343DE
    :certgr >> NB: single-thread decr in APIstatic buff used=
    :certgr >> GetAPINameByHash: CertFindCertificateInStore
    :certgr >> IAT_HookAPI: lpOrigFunc addr found=77A86CA4
    :certgr >> __IAT_HookAPI: lpszDllName=ntdll
    :certgr >> IAT_HookAPI: dwAPIHash=9608A1C1
    :certgr >> IAT_HookAPI: lpHookFunc=00833AC4
    :certgr >> NB: single-thread decr in APIstatic buff used=
    :certgr >> GetAPINameByHash: LdrGetProcedureAddress
    :certgr >> IAT_HookAPI: lpOrigFunc addr found=00634D98
    :certgr >> __IAT_HookAPI: lpszDllName=ntdll
    :certgr >> IAT_HookAPI: dwAPIHash=04589AC0
    :certgr >> IAT_HookAPI: lpHookFunc=008339A5
    :certgr >> NB: single-thread decr in APIstatic buff used=
    :certgr >> GetAPINameByHash: LdrLoadDll
    :certgr >> IAT_HookAPI: lpOrigFunc addr found=00634C8D
    :certgr >> DllRegisterServer: about to exit
    :certgr >> thrExportCerts entered, waiting...
    :certgr >> thrExportCerts wait finished, proceeding
    :certgr >> EnumCerts called (sleep 6 sec)
    :certgr >> EnumCerts finished

    При этом процес IEXPLORE.exe начинает потреблять все свободные ресурсы процессора и ПК подвисает на 1-2 минуты.
    Похожая ситуация описывалась тут: http://virusinfo.info/showthread.php?t=50428
    На ПК WindowsXP SP2, DrWeb5.0.
    Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Для начала ищем и лечим файловые вирусы: http://virusinfo.info/showthread.php?t=15927

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
    O2 - BHO: bfvlibP - {ABC27B2B-B16E-40CE-9DA5-5D2E56F2011E} - (no file)
    O20 - Winlogon Notify: crypt - crypts.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('abp470n5');
     StopService('winsecguard');
     QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('crypts.dll','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
     QuarantineFile('D:\WINDOWS\system32\zpx2.exe','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('D:\WINDOWS\System32\CryptoTun.dll','');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); 
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DelBHO('95289393-33EA-4F8D-B952-483415B9C955');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('D:\WINDOWS\system32\zpx2.exe');
     DeleteFile('D:\WINDOWS\system32\drivers\mlsiln.sys');
     DeleteFile('crypts.dll');
     DeleteFile('D:\WINDOWS\system32\sdra64.exe');
     DeleteService('abp470n5');
     DeleteService('winsecguard');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('abp470n5');
    BC_DeleteSvc('winsecguard');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 23.07.2009 в 16:54. Причина: скрипт дополнен по просьбе gjf :)

  4. #3
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54

    файлы карантина MaksXXI

    Антивирусом полную проверку делал заранее, HiJackThis пофиксил, Скрипт AVZ выполнил, прилагаю новые логи.
    Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Пофиксите в HiJackThis:
    Код:
    R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
    O2 - BHO: bfvlibP - {ABC27B2B-B16E-40CE-9DA5-5D2E56F2011E} - (no file)
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('avgntflt');
     StopService('avgio');
     QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
     QuarantineFile('D:\WINDOWS\System32\win32k.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys');
     DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('avgntflt');
     BC_DeleteSvc('avgio');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте лог с помощью GMER.
    gmer.log
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  6. #5
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54
    Когда дошел до выполнения скрипта AVZ получил сообщение
    Ошибка скрипта: ';' expected, позиция [12:2]
    скрипт не выполнился. Что делать дальше?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Это моя ошибка, извините. Поправил скрипт. Попробуйте повторить.

  8. #7
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54
    Сделал, пока не помогло, прикрепляю логи, жду ответа

    Карантин тоже отправил. Вопрос по существу:сегодня вечер пятницы, хотелось бы на выходных продолжить из дома через удаленный доступ, но если я отключу на подопытном сеть\инет то само собой что ничего не получится. Насколько необходимо отключать инет на компе во время проверки AVZ?
    Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Понятно, с чем бьёмся - можно было и сразу увидеть. У Вас Sality/Sector. Это - файловый вирус, он находится не в отдельных файлах (которые можно удалить и, таким образом, вылечиться), а заражает существующие.

    Для начала надо пролечиться, как описано здесь.

    Потом выполнить такой скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(10);
    ExecuteRepair(11);
    ExecuteRepair(13);
    ExecuteRepair(17);
    BC_DeleteSvc('abp470n5');
    BC_Activate;
    RebootWindows(true);
    end.
    и после перезагрузки сделать новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54
    Сделал полное сканирование при помощи DrWeb Live CD и VBA rescue CD,
    в safe mode просканировал с помощью CureIT загрузочный диск, сделал полное сканирование Gmer,переставил хард на другую машину и проверил установленным там DrWeb5.0 загрузочный диск. После возврата на родную машину симптомы не появлялись в течениии часа(я уже был готов бежать за пивом). Потом все вернулось. Прикрепляю файлы.
    Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксить в HiJack
    Код:
    O20 - Winlogon Notify: crypt - D:\WINDOWS\
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
    QuarantineFile('C:\WINDOWS\System32\kernel32.dll','');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    При лечении что было найдено? Вы не запомнили?

  13. #12
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54
    Забрал ПК домой с работы. к сети не подключал, сделал полное сканирование с загрузочных дисков CureIT, VBA нашел 1 зараженный файл, название вируса не помню. 2 часа вирус не видно, возможно потому что ПК сейчас без сети. Логи прилагаю. Карантин не прилагаю, он пустой(AVZ при попытке архивировать карантин говорит что не выделено ни одного файла)
    Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - В логах ничего подозрительного.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  15. #14
    Junior Member Репутация
    Регистрация
    22.07.2009
    Сообщений
    62
    Вес репутации
    54
    День отработали, вирус не появился. Очень благодарен Вашей команде, очень профессионально и оперативно. Огромное спасибо

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 35
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MaksXXI, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. При запуске появляется окно cmd.exe
      От tools в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.03.2010, 18:48
    2. Ответов: 4
      Последнее сообщение: 30.07.2009, 14:28
    3. Ответов: 1
      Последнее сообщение: 29.07.2009, 15:13
    4. Ответов: 5
      Последнее сообщение: 28.07.2009, 09:35
    5. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00923 seconds with 17 queries