- Сообщения
- 14,922
- Решения
- 5
- Реакции
- 6,857
В последнее время стала популярна реклама в браузерах Powered by Capricornus. Примеры этой рекламы под спойлером
Помимо этого могут самостоятельно открываться новые вкладки.
Причина в пропатченных вирусом системных библиотеках dnsapi.dll (Domain Name Server Client Application Programming Interface).
Для x32 систем располагается здесь
Для x64
Она используется системой в основном для конвертации IP-адреса из имени в адрес и обратно.
Детектируется антивирусом касперского Trojan.Win32.Patched.qw и соответственно Trojan.Win64.Patched.qw, название детектов другими антивирусов можете посмотреть по ссылкам:
Antivirus scan for f595a6dc098cbe09256ce2b4540faeb818b2989c92e991b47495cd614312b9f4 at 2015-12-29 18:47:44 UTC - VirusTotal
Antivirus scan for d9b3b3dd5064e7313dd6ed1e8203018f77fd9c6db7e698ee04b056d84681f508 at 2015-12-07 08:38:18 UTC - VirusTotal
Antivirus scan for 863dc48b7059d9a7257d7424ba5dbf8c3f811e7ecc4cfd59ec748f99805ae73d at 2015-12-07 08:38:11 UTC - VirusTotal
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
https://www.virustotal.com/ru/file/...57446027f8ff01f3c9e7ac5ca657307bdd3/analysis/
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
Antivirus scan for b571511c87f229bd678b1a607a77267b0024769a0c73a3b254044f0ed89330fb at 2016-01-30 08:27:18 UTC - VirusTotal
Заметить подмену этих .dll файлов легко по логу AdwCleaner
При нажатие кнопки "Очистка" AdwCleaner постарается найти в системе чистый файл и заменить им заражённый. Подробней смотрите в теме с описанием утилиты.
Также заподозрить файл можно по логу FRST.txt в секции
Как самостоятельно заменить файл можете почитать в статье: Как произвести замену системных файлов Windows XP/Windows 7/Vista.
Либо воспользоваться утилитой System File Replacer.
На windows XP для восстановления .dll можно установить обновление безопасности Windows XP (KB2509553).
Но помимо этой заражённой .dll в системе обычно куча и другого вирусно-адварного мусора. Поэтому если у вас аналогичная проблема, то для лечения рекомендую обратиться в раздел: Лечение компьютерных вирусов
Примеры тем:
Решена - Реклама ADS BY capricornus
Решена - STEAM - вирнусные банеры в браузере стима.
При копирование статьи рабочая ссылка на эту тему на SZ обязательна.
Помимо этого могут самостоятельно открываться новые вкладки.
Причина в пропатченных вирусом системных библиотеках dnsapi.dll (Domain Name Server Client Application Programming Interface).
Для x32 систем располагается здесь
Код:
C:\Windows\system32\DNSAPI.dll
Код:
C:\WINDOWS\SysNative\dnsapi.dll
C:\WINDOWS\SysWOW64\dnsapi.dll
Детектируется антивирусом касперского Trojan.Win32.Patched.qw и соответственно Trojan.Win64.Patched.qw, название детектов другими антивирусов можете посмотреть по ссылкам:
Antivirus scan for f595a6dc098cbe09256ce2b4540faeb818b2989c92e991b47495cd614312b9f4 at 2015-12-29 18:47:44 UTC - VirusTotal
Antivirus scan for d9b3b3dd5064e7313dd6ed1e8203018f77fd9c6db7e698ee04b056d84681f508 at 2015-12-07 08:38:18 UTC - VirusTotal
Antivirus scan for 863dc48b7059d9a7257d7424ba5dbf8c3f811e7ecc4cfd59ec748f99805ae73d at 2015-12-07 08:38:11 UTC - VirusTotal
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
https://www.virustotal.com/ru/file/...57446027f8ff01f3c9e7ac5ca657307bdd3/analysis/
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
Antivirus scan for b571511c87f229bd678b1a607a77267b0024769a0c73a3b254044f0ed89330fb at 2016-01-30 08:27:18 UTC - VirusTotal
Заметить подмену этих .dll файлов легко по логу AdwCleaner
***** [ DLL ] *****
Файл Заражён : C:\WINDOWS\SysNative\dnsapi.dll
Файл Заражён : C:\WINDOWS\SysWOW64\dnsapi.dll
Файл Заражён : C:\WINDOWS\SysNative\dnsapi.dll
Файл Заражён : C:\WINDOWS\SysWOW64\dnsapi.dll
Также заподозрить файл можно по логу FRST.txt в секции
C:\windows\system32\dnsapi.dll
[2011-10-16 16:29] - [2011-10-16 16:29] - 0357888 ____A (Microsoft Corporation) A79A4B98240D1D6936421CD07EA97B90
C:\windows\SysWOW64\dnsapi.dll
[2011-10-16 16:29] - [2011-10-16 16:29] - 0270336 ____A (Microsoft Corporation) 0FC0AD7D17EF396BE176558C3D2CF838
[2011-10-16 16:29] - [2011-10-16 16:29] - 0357888 ____A (Microsoft Corporation) A79A4B98240D1D6936421CD07EA97B90
C:\windows\SysWOW64\dnsapi.dll
[2011-10-16 16:29] - [2011-10-16 16:29] - 0270336 ____A (Microsoft Corporation) 0FC0AD7D17EF396BE176558C3D2CF838
Как самостоятельно заменить файл можете почитать в статье: Как произвести замену системных файлов Windows XP/Windows 7/Vista.
Либо воспользоваться утилитой System File Replacer.
На windows XP для восстановления .dll можно установить обновление безопасности Windows XP (KB2509553).
Но помимо этой заражённой .dll в системе обычно куча и другого вирусно-адварного мусора. Поэтому если у вас аналогичная проблема, то для лечения рекомендую обратиться в раздел: Лечение компьютерных вирусов
Примеры тем:
Решена - Реклама ADS BY capricornus
Решена - STEAM - вирнусные банеры в браузере стима.
При копирование статьи рабочая ссылка на эту тему на SZ обязательна.