Junior Member
Вес репутации
54
При запуске программ открываются окна Dos
Когда запускаю программу или браузер открывается окно Dos с текстом:
:certgr >> LibMain: DLL_PROCESS_ATTACH, hInstDLL=0
:certgr >> DllRegisterServer called
:certgr >> DllRegisterServer: crypt32 found, installing cert hooks
:certgr >> SetHooks called
:certgr >> __IAT_HookAPI: lpszDllName=crypt32
:certgr >> IAT_HookAPI: dwAPIHash=D058B0FF
:certgr >> IAT_HookAPI: lpHookFunc=01274380
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: PFXImportCertStore
:certgr >> IAT_HookAPI: lpOrigFunc addr found=77ADFF8F
:certgr >> __IAT_HookAPI: lpszDllName=crypt32
:certgr >> IAT_HookAPI: dwAPIHash=E5ECAAE9
:certgr >> IAT_HookAPI: lpHookFunc=01274446
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: CertFindCertificateInStore
:certgr >> IAT_HookAPI: lpOrigFunc addr found=77A86CA4
:certgr >> __IAT_HookAPI: lpszDllName=ntdll
:certgr >> IAT_HookAPI: dwAPIHash=960831C1
:certgr >> IAT_HookAPI: lpHookFunc=01273B2C
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: LdrGetProcedureAddress
:certgr >> IAT_HookAPI: lpOrigFunc addr found=7C917E88
:certgr >> __IAT_HookAPI: lpszDllName=ntdll
:certgr >> IAT_HookAPI: dwAPIHash=04580AC0
:certgr >> IAT_HookAPI: lpHookFunc=01273A0B
:certgr >> NB: single-thread decr in APIstatic buff used=
:certgr >> GetAPINameByHash: LdrLoadDll
:certgr >> IAT_HookAPI: lpOrigFunc addr found=7C9163A3
:certgr >> DllRegisterServer: about to exit
:certgr >> thrExportCerts entered, waiting...
:certgr >> thrExportCerts wait finished, proceeding
:certgr >> EnumCerts called (sleep 6 sec)
:certgr >> EnumCerts finished
Вложения
Последний раз редактировалось maryusik; 26.07.2009 в 13:52 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\adv.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50724 ).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
54
Вот логи, посмотрите пожалуйста
Вложения
c:\windows\system32\adv.dll Backdoor.Win32.Agent.afgh
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\adv.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Коспьютер перезагрузится.
Деинсталируйте bonjour
Пофиксите, если останется:
O20 - AppInit_DLLs: c:\windows\system32\adv.dll
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Не плохо бы накатить Internet Explorer свежее. У вас версия 6, последняя 8.
Последний раз редактировалось Alex_Goodwin; 26.07.2009 в 15:50 .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\adv.dll - Backdoor.Win32.Agent.afgh ( BitDefender: Trojan.Generic.1776475 )