certgr - окна MS DOS при запуске любой программы

Столкнулся с проблемой, описанной в похожих темах - появляются эти чёрные окна при запуске любой программы. Заметил, что в них происходят какие-то махинации с названиями банков ibank2, vtb24, raif и прочие.
[QUOTE]:vtb >> CoreDllUpdater.inc(270) CheckUpdateCoreDll: entered
:vtb >> .\..\..\CrossModuleComponents\KillSystem.inc(368) CheckForSysLock: entered:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(368) CheckForSysLock: entered:certgr >> certgrab.asm(88) thrExportCerts entered, waiting...

:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered
:bc_s >> bc_s.asm(227) thrLoginBypasser: entered, waiting..

:vtb >> .\..\..\CrossModuleComponents\DataSaver.inc(397) GetFlagValue entered:vtb >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered

:vtb >> .\..\..\CrossModuleComponents\DataSaver.inc(400) GetFlagValue: szFlagName=DisplayAverageRX32:ibank2 >> .\..\..\CrossModuleComponents\KillSystem.inc(295) CheckSysLockFlag: entered

:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(308) CheckSysLockFlag: HKLM opened ok
:psb >> .\..\..\CrossModuleComponents\KillSystem.inc(322) CheckSysLockFlag: HKCUopened ok
:ibank2 >> .\..\..\CrossModuleComponents\KillSystem.inc(308) CheckSysLockFlag:
HKLM opened ok[/QUOTE]
Когда делал сканирование CureIt! , был обнаружен Trojan.WinSpy.440 в файле D:\WINDOWS\system32\sfcfiles.dll . Вылечить не удалось, переместил.

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe ujvh.dro qulbhx
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F67A4B-E276-4F10-8436-F523E016ABC8}: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O21 - SSODL: msvcrt64.dll - {6389BBDD-D247-4DFB-A05F-46537B804BF2} - msvcrt64.dll (file missing)
O21 - SSODL: msvcrt52.dll - {B627951F-88DA-4F5A-8CF6-57F32A83DD0E} - msvcrt52.dll (file missing)
O21 - SSODL: VStorage - {078D8166-6260-48CD-8E29-F0AC4D055DF3} - swmclip.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {6B681D68-5FC9-437A-B5A3-69B8138B7800} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {B28C173A-D0EE-443C-BC9C-5B92A68BCE89} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {87CDBCFB-A53C-4B71-9DB5-144301B01F53} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {B75664B0-F0F4-4A21-AFCF-F0B455E1F57D} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {04FF191B-ECF0-47D9-BABB-8E158FF03F99} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {18997CBE-A006-4F99-BDA7-4BC1CD44C4F2} - D:\WINDOWS\system32\daoprint.dll (file missing)
O22 - SharedTaskScheduler: Microsoft Printer Sheduler - {7AD9BB42-CA8F-4790-B6E5-95360F4D7F6F} - D:\WINDOWS\system32\daoprint.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('D:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('D:\WINDOWS\TEMP\tempo-44872703.tmp','');
RenameFile('D:\WINDOWS\System32\sfcfiles.dll', 'D:\WINDOWS\System32\sfcfiles.bak');
CopyFile('D:\WINDOWS\System32\dllcache\sfcfiles.dll','D:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('D:\WINDOWS\TEMP\tempo-44872703.tmp');
DeleteFile('D:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job');
DeleteFile('D:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('D:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('D:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=67087[/url]).
Сделайте новые логи.

Спасибо большое, окна исчезли. Вот новые логи.
Да, забыл сказать, что ещё до создания темы запускал антируткит Gmer, который жаловался на процесс ESQULserv.sys. Удалить через gmer не получилось, но смог его disabled (отключить).
После перезагрузки gmer на него не жаловасля, но в реестре он находится по адресу HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\ESQULserv.sys и в gmer выделен красным.
Стоит ли с ним что-то делать?

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ujvh.dro','');
DeleteFile('D:\WINDOWS\system32\ujvh.dro');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Запустите AVZ, откройте [I]Мастер поиска и устранения проблем[/I] и исправьте:
[COLOR="Red"] >> Нарушение ассоциации SCR файлов
>> Нарушение ассоциации REG файлов[/COLOR]

Пришлите новый карантин согласно приложению 3 правил.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]