Показано с 1 по 17 из 17.

sisgbi32.exe, winporn32.popup и еще куча всего (заявка № 86577)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54

    sisgbi32.exe, winporn32.popup и еще куча всего

    Вынужден обратиться вновь. Помнится, когда обращался в первый раз, ничего особенного не нашли. С тех пор Spybot при каждом включении ловил кучу спама (Right Media, Doubleclick) потом начал появлятся winporn32.popup. Наконец, при включении где-то час назад появился sisgbi32.exe. Internet Explorer не запускает Свойства обозревателя, пишет "операция отменена вследствие действующих для пользователя ограничений, обратитесь к администрации сети". Некоторые иконки перестали кликаться "У вас нет соответствующих прав доступа". И компьютер стал сильно тормозить. Перезагрузил компьютер появилось сообщение "ваши системные файлы были изменены на нестандартные, сохранить". Если не сохраняешь пишет: "Вставьте дистрибутив Windows XP" (которого у меня сию минуту нет) . Пришлось сохранить. Вообще простите ламера, конечно, но то, что творится похоже на атаку разных видов вредоносного ПО. Да, забыл сказать - еще иногда внезапно включаются разные программы от "планировщика заданий", до Windows Media Player.
    Последний раз редактировалось thyrex; 05.04.2012 в 23:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\5a38baf8.exe,
    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
     QuarantineFile('C:\WINDOWS\system32\5a38baf8.exe','');
     QuarantineFile('e:\45d5~1\d\firewall\wl_hookdll','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\WINDOWS\system32\5a38baf8.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\sisgbi32.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Спасибо за помощь
    Вношу уточнения. Вчера, после обращения за помощью, загрузил также DrWebCureit. Он нашел 2 трояна - Trojan. Winspy.21 - исцелил (какой-то системный dll), Trojan. Siggen2.354 он нашел в setapapi.dll и удалил setapapi.dll. Судя по предлагаемым Вами скриптам, Вы хотите, чтобы AVZ удалил setapapi.dll. Но такого файла возможно уже нет (Поиск АVZ его не видит).

    Что делать? Все равно выполнить предлагаемые Вами скрипты (т.к. sisgbi32.exe никуда не делся)? Система после лечения Dr Web самовосстановилась, но все равно тормозит. В IE Свойства обозревателя открылись.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполняйте всё что я написал. Скрипт обязательно в безопасном режиме. После этого сделайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Цитата Сообщение от Olejah Посмотреть сообщение
    Выполняйте всё что я написал. Скрипт обязательно в безопасном режиме. После этого сделайте новые логи.
    Выполнил. Огромное спасибо, sisgbi32.exe из автозагрузки исчез. Но вот не знаю как создать карантин с паролем virus. Создал простой карантин, выполнив Ваш скрипт. Отправил (если что не так, извините). См. ниже (не знаю, нужна Вам эта информация или нет, но отправляю).

    Файл сохранён как100828_154740_quarantine_4c78f75c97e61.zipРазме р файла63701MD5dce083e23eee3c066419debb58dc517f

    Новые логи прикрепил.
    Последний раз редактировалось thyrex; 05.04.2012 в 23:44.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Надо ещё сделать лог Гмер

  8. #7
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Цитата Сообщение от Olejah Посмотреть сообщение
    Надо ещё сделать лог Гмер
    Сделал проверку MBAM (Malwarebytes Anti-Malware). Лог MBAM на выходе выдал 2 вида вредоносного ПО . Попытка удалить их привела вот к чему:
    C:\WINDOWS\system32\drivers\bbfrit.sys (Rootkit.Bubnix) -> Delete on reboot.
    C:\Documents and Settings\Пользователь\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

    Однако после я сделал лог Gmer. Gmer опознал bbfrit.sys как руткит и показал, что файла вроде бы и нет, а в памяти он висит, а в реестре целых 4 ключа этого руткита. Лог Gmer прилагаю (он извините, большой, но уж сам Gmer посоветовал провести мне проверку всего диска С, после того как руткит нашел).

    P.S. Еще беспокоит Win32.Pornpopup. Уж очень много нехорошего пишут про это ПО в инете. В частности, что он может загружать на комп вирусы и трояны. Каждый запуск IE продолжает приводить к возникновению при проверке Spybot этого вредоносного ПО. Удаляю - перезагружаю машину, снова появляется.
    Последний раз редактировалось thyrex; 05.04.2012 в 23:44.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    - Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):

    Код:
    gmer.exe -del service bbfrit
    gmer.exe -del file "C:\WINDOWS\system32\drivers\bbfrit.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bbfrit"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet141\Services\bbfrit"
    gmer.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ

  10. #9
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Цитата Сообщение от Olejah Посмотреть сообщение
    - Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):
    После перезагрузки:
    - Сделайте повторные логи АВЗ
    На 2 дня не обращался, было много работы, сейчас опять та же песня - функции IE отключены трояном, а вместо руткита bbfrit.sys там еще какой-то руткит появился. Руткит появился еще 2 дня назад (сразу после выполнения программы 1.bat), а trojan только вот сейчас. Троян наверное тот же самый, вылечу DrWebCureit. Лог сделался только 1, второй не делается. Дело плохо.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Попробуйте провериться так - http://support.kaspersky.ru/faq/?qid=208636926, лог приложите сюда -
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  12. #11
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Цитата Сообщение от Olejah Посмотреть сообщение
    Попробуйте провериться так - http://support.kaspersky.ru/faq/?qid=208636926, лог приложите сюда -
    Удалил 2 трояна. Они были в тех же самых файлах, один в файле системы, другой в файле setupapi.dll. TrojanWinspy.921 и TrojanSiggen.2.381. После этого смог сделать оставшийся лог АVZ. Сейчас выложу. Только у меня скоро сумма вложений к 60% подойдет. Сейчас выполню то, что советуете. Потом отпишусь.
    Последний раз редактировалось thyrex; 05.04.2012 в 23:45.

  13. #12
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54
    Цитата Сообщение от Olejah Посмотреть сообщение
    Попробуйте провериться так - http://support.kaspersky.ru/faq/?qid=208636926, лог приложите сюда -
    Утилита ничего не нашла. Файл прилагаю. Кстати, сейчас исследование системы AVZ сделал так руткит куда-то делся. Могу я попросить не закрывать тему, я хочу еще хотя бы день посмотреть, что будет. Попробовать в IE зайти, там пооткрывать страницы. Может это временно и руткит опять появится.

  14. #13
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    54

    Кажется я напортачил....:)

    Появился файл dwprot.sys . Я попытался удалить его из реестра, написав программу в AVZ самостоятельно (заодно попытался удалить hook1_dll от файервола после удаления его остался). После этого у меня 1 раз при работе возникает синий экран с системной ошибкой и система перезагрузилась.

    Вот программа, которую я запустил:

    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    DelCLSID 'HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Servi ces\Eventlog\System\DwProt');
    BC_DeleteFile('C:\WINDOWS\System32\drivers\dwprot. sys');
    DelCLSID('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs\wl_hookdll');
    BC_DeleteFile('e:\45d5~1\d\firewall\wl_hookdll');
    ExecuteWizard('TSW',2,3,true);
    ExecuteSysClean;
    RebootWindows(true);
    end.

    Она могла что-нибудь испортить в системе?

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от Alexkzt Посмотреть сообщение
    Появился файл dwprot.sys . Я попытался удалить его из реестра, написав программу в AVZ самостоятельно
    Скажите зачем было так делать? Чтобы что-то удалять, надо сначала разобраться что это, а это драйвер Доктора Вэба. А это wl_hookdll - библиотека Agnitum Outpost Firewall

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от Alexkzt Посмотреть сообщение
    сейчас опять та же песня
    - будет снова, пока не обновитесь...


    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте "OSAM" (Online Solutions Autorun Manager).

    Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\пользователь\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.Buzus.fidv ( DrWEB: Trojan.Botnetlog.523, BitDefender: Trojan.Generic.4855966, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cax ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4679209, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
      3. c:\\windows\\system32\\5a38baf8.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )


  • Уважаемый(ая) Alexkzt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Application Popup Kaspersky Lab
      От serggioz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.09.2010, 17:59
    2. Pernicious Popup has no Visible Purpose..
      От putiger в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 22.06.2010, 18:48
    3. Новый блокиратор popup-окон?
      От xAoTuKc в разделе Спам и мошенничество в сети
      Ответов: 21
      Последнее сообщение: 13.08.2009, 11:47
    4. что-то непонятное.. Applic popup.. AVZPM
      От coca в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 03.02.2009, 03:37
    5. Security Center popup, iSpyware
      От szymc1o в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 02.12.2008, 14:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01605 seconds with 19 queries