Показано с 1 по 9 из 9.

Еще один siszyd32.exe (заявка № 63759)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    8
    Вес репутации
    28

    Exclamation Еще один siszyd32.exe

    Вчера Nod32 выловил эту бяку, одну видимо прибил, другую не смог:
    Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
    14.12.2009 14:57:45 AMON файл D:\Temp\~TM172.tmp модифицированный Win32/Kryptik.BID троян NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe. Файл удален.
    14.12.2009 14:57:03 AMON файл D:\Temp\~TM170.tmp Win32/TrojanProxy.Tikayb.A троян удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\system32\svchost.exe.
    Сегодня svchost.exe грузит процессор на 100%, свежий cureit ничего не находит, файл siszyd32.exe прибил ручками в безопасном режиме и вычистил из реестра его остатки. Пока все вроде бы нормально.

    Логи сделаны до ручной чистки, посмотрите пожалуйста, не было ли там еще чего.
    PS: вчера же, с моего номера ICQ моим контактам был разослан спам, пароль на аську уже сменил. События с трояном на 99% не связаны, но тем не менее.
    Вложения Вложения
    Последний раз редактировалось Kif62; 15.12.2009 в 11:24.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Kif62 Посмотреть сообщение
    Логи сделаны до ручной чистки, посмотрите пожалуйста, не было ли там еще чего
    Кроме siszyd32.exe ничего плохого не видно.
    Повторите лог по п.2 Диагностики, чтобы сомнений не осталось.
    I am not young enough to know everything...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\NIK\Главное меню\Программы\Автозагрузка\siszyd32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    8
    Вес репутации
    28
    Добрался до компьютера, запустил браузер (FireFox) пока грузились вкладки зазвучала музыка (типа индийской или восточной песни), оказалась что открыта какая-то "левая" страница сомнительного содержания, страницу закрыл - музыка прекратилась. Выполнил скрипт, начал делать лог AVZ, при этом забыл отключить NOD32, сработал NOD с сообщением:
    Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
    16.12.2009 10:43:52 AMON файл C:\WINDOWS\system32\DRIVERS\asyncmac.sys Win32/Agent.QMR троян удален NIKOLAY\NIK Событие при попытке доступа к файлу приложением E:\TOOLS\AVIRUS\avz4\avz.exe.
    сразу скачал свежий cureit, он нашел следующее:
    C:\WINDOWS\system32\drivers\pdphnyqn.sys инфицирован Trojan.Packed.600 - удален
    D:\Temp\~TM1A.tmp инфицирован Trojan.Packed.17782 - неизлечим - перемещен
    после этого сделал все логи по новой
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,630
    Вес репутации
    2917
    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs:
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp');
    QuarantineFile('C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs:
    я вчера вместо NOD32 установил KIS 2010, но для чистоты эксперимента проверок не делал, в HiJack эта строка приняла вид
    Код:
    O20 - AppInit_DLLs:   ,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
    Перед выполнением скрипта в AVZ специально заглянул в папку "c:\Documents and Settings\NIK\DoctorWeb\Quarantine\" убедиться что файл ~TM1A.tmp там есть и он там был. Во время выполнения скрипта AVZ сообщала о каких-то ошибках, но перезагрузка помешала их прочесть. После перезагрузки этот файл из карантина DoctorWeb исчез, а в карантине AVZ его не оказалось, остались лишь файлы bcqr00001.ini и bcqr00002.ini с содержимым вида
    Код:
    [InfectedFile]
    Src=\??\C:\Documents and Settings\NIK\DoctorWeb\Quarantine\~TM1A.tmp
    Infected=bcqr00002.dat
    Virus=BootCleaner quarantine
    Size=0
    CopyStatus=C0000034
    самих файлов bcqr0000*.dat нет. Антивирус был все время отключен и его логи чистые, попытка восстановить "зловреда" с помощью программ восстановления тоже не увенчалась успехом.
    Новые логи прилагаю.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Чисто

    Установите Internet Explorer 8

  9. #8
    Junior Member Репутация
    Регистрация
    22.05.2009
    Сообщений
    8
    Вес репутации
    28
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Чисто
    спасибо

    Установите Internet Explorer 8
    я и шестым не пользуюсь, только Firefox.
    И все же непонятно куда делся карантин?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    И все же непонятно куда делся карантин?
    Убежал...
    я и шестым не пользуюсь, только Firefox.
    Надо всеравно обновлять.

  • Уважаемый(ая) Kif62, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. НИ ОДИН БРАУЗЕР НЕ ОТКРЫВАЕТ НИ ОДИН САЙТ!
      От Crashma в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.04.2012, 16:47
    2. siszyd32.exe
      От Maxzact в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.01.2010, 09:59
    3. siszyd32
      От drujutso в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.12.2009, 07:54
    4. SISZYD32
      От RemeR в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 15.12.2009, 12:47
    5. siszyd32.exe
      От pikapika в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.12.2009, 01:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00581 seconds with 22 queries