-
Junior Member
- Вес репутации
- 54
При запуске приложений появляется Dos окно
При запуске любого приложения появляется Dos окно с таким содержимым:
:certgr >> LibMain: DLL_PROCESS_ATTACH, hInstDLL=0
:certgr >> DllRegisterServer called
:certgr >> DllRegisterServer: crypt32 found, installing cert hooks
:certgr >> SetHooks called
:certgr >> __IAT_HookAPI: lpszDllName=crypt32
:certgr >> IAT_HookAPI: dwAPIHash=D05820FF
:certgr >> IAT_HookAPI: lpHookFunc=00834318
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: PFXImportCertStore
:certgr >> IAT_HookAPI: lpOrigFunc addr found=77ADFF8F
:certgr >> __IAT_HookAPI: lpszDllName=crypt32
:certgr >> IAT_HookAPI: dwAPIHash=E5EC3AE9
:certgr >> IAT_HookAPI: lpHookFunc=008343DE
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: CertFindCertificateInStore
:certgr >> IAT_HookAPI: lpOrigFunc addr found=77A86CA4
:certgr >> __IAT_HookAPI: lpszDllName=ntdll
:certgr >> IAT_HookAPI: dwAPIHash=9608A1C1
:certgr >> IAT_HookAPI: lpHookFunc=00833AC4
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: LdrGetProcedureAddress
:certgr >> IAT_HookAPI: lpOrigFunc addr found=00634D98
:certgr >> __IAT_HookAPI: lpszDllName=ntdll
:certgr >> IAT_HookAPI: dwAPIHash=04589AC0
:certgr >> IAT_HookAPI: lpHookFunc=008339A5
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: LdrLoadDll
:certgr >> IAT_HookAPI: lpOrigFunc addr found=00634C8D
:certgr >> DllRegisterServer: about to exit
:certgr >> thrExportCerts entered, waiting...
:certgr >> thrExportCerts wait finished, proceeding
:certgr >> EnumCerts called (sleep 6 sec)
:certgr >> EnumCerts finished
При этом процес IEXPLORE.exe начинает потреблять все свободные ресурсы процессора и ПК подвисает на 1-2 минуты.
Похожая ситуация описывалась тут: http://virusinfo.info/showthread.php?t=50428
На ПК WindowsXP SP2, DrWeb5.0.
Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Для начала ищем и лечим файловые вирусы: http://virusinfo.info/showthread.php?t=15927
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
O2 - BHO: bfvlibP - {ABC27B2B-B16E-40CE-9DA5-5D2E56F2011E} - (no file)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('abp470n5');
StopService('winsecguard');
QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('digeste.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
QuarantineFile('D:\WINDOWS\system32\zpx2.exe','');
QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('D:\WINDOWS\System32\CryptoTun.dll','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DelBHO('95289393-33EA-4F8D-B952-483415B9C955');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('D:\WINDOWS\system32\zpx2.exe');
DeleteFile('D:\WINDOWS\system32\drivers\mlsiln.sys');
DeleteFile('crypts.dll');
DeleteFile('D:\WINDOWS\system32\sdra64.exe');
DeleteService('abp470n5');
DeleteService('winsecguard');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_DeleteSvc('winsecguard');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 23.07.2009 в 16:54.
Причина: скрипт дополнен по просьбе gjf :)
-
-
Junior Member
- Вес репутации
- 54
файлы карантина MaksXXI
Антивирусом полную проверку делал заранее, HiJackThis пофиксил, Скрипт AVZ выполнил, прилагаю новые логи.
Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
O2 - BHO: bfvlibP - {ABC27B2B-B16E-40CE-9DA5-5D2E56F2011E} - (no file)
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('avgntflt');
StopService('avgio');
QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
QuarantineFile('D:\WINDOWS\System32\win32k.sys','');
QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('avgntflt');
BC_DeleteSvc('avgio');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог с помощью GMER.
gmer.log
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 24.07.2009 в 12:32.
-
-
Junior Member
- Вес репутации
- 54
Когда дошел до выполнения скрипта AVZ получил сообщение
Ошибка скрипта: ';' expected, позиция [12:2]
скрипт не выполнился. Что делать дальше?
-
Это моя ошибка, извините. Поправил скрипт. Попробуйте повторить.
-
-
Junior Member
- Вес репутации
- 54
Сделал, пока не помогло, прикрепляю логи, жду ответа
Карантин тоже отправил. Вопрос по существу:сегодня вечер пятницы, хотелось бы на выходных продолжить из дома через удаленный доступ, но если я отключу на подопытном сеть\инет то само собой что ничего не получится. Насколько необходимо отключать инет на компе во время проверки AVZ?
Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.
-
Понятно, с чем бьёмся - можно было и сразу увидеть. У Вас Sality/Sector. Это - файловый вирус, он находится не в отдельных файлах (которые можно удалить и, таким образом, вылечиться), а заражает существующие.
Для начала надо пролечиться, как описано здесь.
Потом выполнить такой скрипт в AVZ:
Код:
begin
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
и после перезагрузки сделать новые логи.
-
-
Junior Member
- Вес репутации
- 54
Сделал полное сканирование при помощи DrWeb Live CD и VBA rescue CD,
в safe mode просканировал с помощью CureIT загрузочный диск, сделал полное сканирование Gmer,переставил хард на другую машину и проверил установленным там DrWeb5.0 загрузочный диск. После возврата на родную машину симптомы не появлялись в течениии часа(я уже был готов бежать за пивом). Потом все вернулось. Прикрепляю файлы.
Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.
-
Пофиксить в HiJack
Код:
O20 - Winlogon Notify: crypt - D:\WINDOWS\
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\kernel32.dll','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
При лечении что было найдено? Вы не запомнили?
-
-
Junior Member
- Вес репутации
- 54
Забрал ПК домой с работы. к сети не подключал, сделал полное сканирование с загрузочных дисков CureIT, VBA нашел 1 зараженный файл, название вируса не помню. 2 часа вирус не видно, возможно потому что ПК сейчас без сети. Логи прилагаю. Карантин не прилагаю, он пустой(AVZ при попытке архивировать карантин говорит что не выделено ни одного файла)
Последний раз редактировалось MaksXXI; 17.06.2010 в 19:30.
-
- В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
-
-
Junior Member
- Вес репутации
- 54
День отработали, вирус не появился. Очень благодарен Вашей команде, очень профессионально и оперативно. Огромное спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 35
- В ходе лечения вредоносные программы в карантинах не обнаружены
-