-
Junior Member
- Вес репутации
- 53
certgr - окна MS DOS при запуске любой программы
Столкнулся с проблемой, описанной в похожих темах - появляются эти чёрные окна при запуске любой программы. Заметил, что в них происходят какие-то махинации с названиями банков ibank2, vtb24, raif и прочие.
:vtb >> CoreDllUpdater.inc(270) CheckUpdateCoreDll: entered
:vtb >> .\..\..\CrossModuleComponents\KillSystem.inc(368) CheckForSysLock: entered:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(368) CheckForSysLock: entered:certgr >> certgrab.asm(88) thrExportCerts entered, waiting...
:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered
:bc_s >> bc_s.asm(227) thrLoginBypasser: entered, waiting..
:vtb >> .\..\..\CrossModuleComponents\DataSaver.inc(397) GetFlagValue entered:vtb >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered
:vtb >> .\..\..\CrossModuleComponents\DataSaver.inc(400) GetFlagValue: szFlagName=DisplayAverageRX32:ibank2 >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered
:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(308) CheckSysLockFlag: HKLM opened ok
:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(322) CheckSysLockFlag: HKCUopened ok
:ibank2 >> .\..\..\CrossModuleComponents\KillSystem.inc(308) CheckSysLockFlag:
HKLM opened ok
Когда делал сканирование CureIt! , был обнаружен Trojan.WinSpy.440 в файле D:\WINDOWS\system32\sfcfiles.dll . Вылечить не удалось, переместил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe ujvh.dro qulbhx
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F67A4B-E276-4F10-8436-F523E016ABC8}: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O21 - SSODL: msvcrt64.dll - {6389BBDD-D247-4DFB-A05F-46537B804BF2} - msvcrt64.dll (file missing)
O21 - SSODL: msvcrt52.dll - {B627951F-88DA-4F5A-8CF6-57F32A83DD0E} - msvcrt52.dll (file missing)
O21 - SSODL: VStorage - {078D8166-6260-48CD-8E29-F0AC4D055DF3} - swmclip.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {6B681D68-5FC9-437A-B5A3-69B8138B7800} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {B28C173A-D0EE-443C-BC9C-5B92A68BCE89} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {87CDBCFB-A53C-4B71-9DB5-144301B01F53} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {B75664B0-F0F4-4A21-AFCF-F0B455E1F57D} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {04FF191B-ECF0-47D9-BABB-8E158FF03F99} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {18997CBE-A006-4F99-BDA7-4BC1CD44C4F2} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {7AD9BB42-CA8F-4790-B6E5-95360F4D7F6F} - D:\WINDOWS\system32\daoprint.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('D:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('D:\WINDOWS\TEMP\tempo-44872703.tmp','');
RenameFile('D:\WINDOWS\System32\sfcfiles.dll', 'D:\WINDOWS\System32\sfcfiles.bak');
CopyFile('D:\WINDOWS\System32\dllcache\sfcfiles.dll','D:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('D:\WINDOWS\TEMP\tempo-44872703.tmp');
DeleteFile('D:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
DeleteFile('D:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('D:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('D:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67087).
Сделайте новые логи.
Последний раз редактировалось Bratez; 14.01.2010 в 04:06.
Причина: исправил ошибку в скрипте
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо большое, окна исчезли. Вот новые логи.
Да, забыл сказать, что ещё до создания темы запускал антируткит Gmer, который жаловался на процесс ESQULserv.sys. Удалить через gmer не получилось, но смог его disabled (отключить).
После перезагрузки gmer на него не жаловасля, но в реестре он находится по адресу HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\E SQULserv.sys и в gmer выделен красным.
Стоит ли с ним что-то делать?
Последний раз редактировалось sinus12; 14.01.2010 в 20:59.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ujvh.dro','');
DeleteFile('D:\WINDOWS\system32\ujvh.dro');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Запустите AVZ, откройте Мастер поиска и устранения проблем и исправьте:
>> Нарушение ассоциации SCR файлов
>> Нарушение ассоциации REG файлов
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте лог gmer.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
-