Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   черные окна MS DOS при запуске любой программы (http://forum.oszone.net/showthread.php?t=145903)

Just_K 22-07-2009 20:36 1174954
черные окна MS DOS при запуске любой программы
 
Вложений: 1
Проблему я уже встречал на вашем форуме.

Любое ехе приложение (включая системные) вызывает черное окно доса с различной мурой вида:

LibMain: DLL_PROCESS_ATTACH, hInstDLL=0
:certgr >> DllRegisterServer called
:certgr >> DllRegisterServer: crypt32 found, installing cert hooks

и так далее.

Прикрепил необходимые файлы. Просьба помочь - боюсь открывать все, что на пароле. А то украдет же.

thyrex 22-07-2009 21:23 1174986
Пуред выполнением скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows
Отключите восстановление системы

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
 QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\msxml71.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Сделайте новые логи

Just_K 22-07-2009 21:49 1175001
на скрипт выдает ошибочку:

ошибка undeclared identifier: execute repait в позиции 18:14


и на всякий случай - что писать в электронном письме?

thyrex 22-07-2009 22:15 1175017
Упс, извините. Скрипт поправил.

В письме напишите, например, - прошу проверить, требуется ответ

Just_K 22-07-2009 22:27 1175029
письмо отправил, после перезагрузки окон нет

скажите, пожалуйста, - что это?

если это троян, то мне, наверное, надо менять пароли. мог ли он что-то украсть?

спасибо.

thyrex 22-07-2009 23:11 1175071
C:\WINDOWS\System32\sfcfiles.dll - Trojan.Win32.Patched.fr
C:\WINDOWS\system32\msxml71.dll - тоже какой-то троянец

Но вроде за пароли беспокоиться не стоит

Цитата:
Цитата thyrex
Сделайте новые логи »

Just_K 23-07-2009 10:13 1175323
Вложений: 1
вот и вложения

thyrex 23-07-2009 12:48 1175478
Скачайте IceSword
Распакуйте в отдельную папку и запустите.
Выберите Registry.
Найдите все строки, в записи которых встречается %fystemRoot%.
Замените в этих строках %fystemRoot% на %systemRoot%

Just_K 23-07-2009 16:47 1175711
Не знаю - совпадение ли (вряд ли)

Два раза начинал поиск (все галочки включены) - 1 раз синий экран смерти, 2 - просто перезагрузка (без экрана смерти).

Что делать? (И зачем, кстати?)

iskander-k 23-07-2009 19:08 1175857
Цитата:
Цитата Just_K
(И зачем, »
Чтобы сделать
Цитата:
Цитата thyrex
Найдите все строки, в записи которых встречается %fystemRoot%.
Замените в этих строках %fystemRoot% на %systemRoot% »

Just_K 23-07-2009 19:38 1175887
Я же написал - выбивает при поиске на ребут или синий экран

thyrex 23-07-2009 23:38 1176055
Попробуйте проделать тоже в regedit.

Когда найдете такую строку, нужно щелкнуть правой кнопкой мыши по подразделу, его содержащему, и выбрать Разрешения... Убедитесь, что группе администраторов разрешен полный доступ. Если не разрешен - включите его.


Время: 18:19.

Время: 18:19.
© OSzone.net 2001-