-
Junior Member
- Вес репутации
- 54
sisgbi32.exe, winporn32.popup и еще куча всего
Вынужден обратиться вновь. Помнится, когда обращался в первый раз, ничего особенного не нашли. С тех пор Spybot при каждом включении ловил кучу спама (Right Media, Doubleclick) потом начал появлятся winporn32.popup. Наконец, при включении где-то час назад появился sisgbi32.exe. Internet Explorer не запускает Свойства обозревателя, пишет "операция отменена вследствие действующих для пользователя ограничений, обратитесь к администрации сети". Некоторые иконки перестали кликаться "У вас нет соответствующих прав доступа". И компьютер стал сильно тормозить. Перезагрузил компьютер появилось сообщение "ваши системные файлы были изменены на нестандартные, сохранить". Если не сохраняешь пишет: "Вставьте дистрибутив Windows XP" (которого у меня сию минуту нет) . Пришлось сохранить. Вообще простите ламера, конечно, но то, что творится похоже на атаку разных видов вредоносного ПО. Да, забыл сказать - еще иногда внезапно включаются разные программы от "планировщика заданий", до Windows Media Player.
Последний раз редактировалось thyrex; 05.04.2012 в 23:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\5a38baf8.exe,
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
QuarantineFile('C:\WINDOWS\system32\5a38baf8.exe','');
QuarantineFile('e:\45d5~1\d\firewall\wl_hookdll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\5a38baf8.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 54
Спасибо за помощь
Вношу уточнения. Вчера, после обращения за помощью, загрузил также DrWebCureit. Он нашел 2 трояна - Trojan. Winspy.21 - исцелил (какой-то системный dll), Trojan. Siggen2.354 он нашел в setapapi.dll и удалил setapapi.dll. Судя по предлагаемым Вами скриптам, Вы хотите, чтобы AVZ удалил setapapi.dll. Но такого файла возможно уже нет (Поиск АVZ его не видит).
Что делать? Все равно выполнить предлагаемые Вами скрипты (т.к. sisgbi32.exe никуда не делся)? Система после лечения Dr Web самовосстановилась, но все равно тормозит. В IE Свойства обозревателя открылись.
-
Выполняйте всё что я написал. Скрипт обязательно в безопасном режиме. После этого сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Olejah
Выполняйте всё что я написал. Скрипт обязательно в безопасном режиме. После этого сделайте новые логи.
Выполнил. Огромное спасибо, sisgbi32.exe из автозагрузки исчез. Но вот не знаю как создать карантин с паролем virus. Создал простой карантин, выполнив Ваш скрипт. Отправил (если что не так, извините). См. ниже (не знаю, нужна Вам эта информация или нет, но отправляю).
Файл сохранён как100828_154740_quarantine_4c78f75c97e61.zipРазме р файла63701MD5dce083e23eee3c066419debb58dc517f
Новые логи прикрепил.
Последний раз редактировалось thyrex; 05.04.2012 в 23:44.
-
Надо ещё сделать лог Гмер
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Olejah
Надо ещё сделать лог
Гмер
Сделал проверку MBAM (Malwarebytes Anti-Malware). Лог MBAM на выходе выдал 2 вида вредоносного ПО . Попытка удалить их привела вот к чему:
C:\WINDOWS\system32\drivers\bbfrit.sys (Rootkit.Bubnix) -> Delete on reboot.
C:\Documents and Settings\Пользователь\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
Однако после я сделал лог Gmer. Gmer опознал bbfrit.sys как руткит и показал, что файла вроде бы и нет, а в памяти он висит, а в реестре целых 4 ключа этого руткита. Лог Gmer прилагаю (он извините, большой, но уж сам Gmer посоветовал провести мне проверку всего диска С, после того как руткит нашел).
P.S. Еще беспокоит Win32.Pornpopup. Уж очень много нехорошего пишут про это ПО в инете. В частности, что он может загружать на комп вирусы и трояны. Каждый запуск IE продолжает приводить к возникновению при проверке Spybot этого вредоносного ПО. Удаляю - перезагружаю машину, снова появляется.
Последний раз редактировалось thyrex; 05.04.2012 в 23:44.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):
Код:
gmer.exe -del service bbfrit
gmer.exe -del file "C:\WINDOWS\system32\drivers\bbfrit.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bbfrit"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet141\Services\bbfrit"
gmer.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Olejah
- Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe(GMER) и запустите этот батник(1.bat):
После перезагрузки:
- Сделайте повторные логи АВЗ
На 2 дня не обращался, было много работы, сейчас опять та же песня - функции IE отключены трояном, а вместо руткита bbfrit.sys там еще какой-то руткит появился. Руткит появился еще 2 дня назад (сразу после выполнения программы 1.bat), а trojan только вот сейчас. Троян наверное тот же самый, вылечу DrWebCureit. Лог сделался только 1, второй не делается. Дело плохо.
-
Попробуйте провериться так - http://support.kaspersky.ru/faq/?qid=208636926, лог приложите сюда -
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Olejah
Удалил 2 трояна. Они были в тех же самых файлах, один в файле системы, другой в файле setupapi.dll. TrojanWinspy.921 и TrojanSiggen.2.381. После этого смог сделать оставшийся лог АVZ. Сейчас выложу. Только у меня скоро сумма вложений к 60% подойдет. Сейчас выполню то, что советуете. Потом отпишусь.
Последний раз редактировалось thyrex; 05.04.2012 в 23:45.
-
Junior Member
- Вес репутации
- 54
Сообщение от
Olejah
Утилита ничего не нашла. Файл прилагаю. Кстати, сейчас исследование системы AVZ сделал так руткит куда-то делся. Могу я попросить не закрывать тему, я хочу еще хотя бы день посмотреть, что будет. Попробовать в IE зайти, там пооткрывать страницы. Может это временно и руткит опять появится.
-
Junior Member
- Вес репутации
- 54
Кажется я напортачил....:)
Появился файл dwprot.sys . Я попытался удалить его из реестра, написав программу в AVZ самостоятельно (заодно попытался удалить hook1_dll от файервола после удаления его остался). После этого у меня 1 раз при работе возникает синий экран с системной ошибкой и система перезагрузилась.
Вот программа, которую я запустил:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID 'HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Servi ces\Eventlog\System\DwProt');
BC_DeleteFile('C:\WINDOWS\System32\drivers\dwprot. sys');
DelCLSID('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs\wl_hookdll');
BC_DeleteFile('e:\45d5~1\d\firewall\wl_hookdll');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.
Она могла что-нибудь испортить в системе?
-
Сообщение от
Alexkzt
Появился файл dwprot.sys . Я попытался удалить его из реестра, написав программу в AVZ самостоятельно
Скажите зачем было так делать? Чтобы что-то удалять, надо сначала разобраться что это, а это драйвер Доктора Вэба. А это wl_hookdll - библиотека Agnitum Outpost Firewall
-
-
Сообщение от
Alexkzt
сейчас опять та же песня
- будет снова, пока не обновитесь...
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут
-
-
Скачайте "OSAM" (Online Solutions Autorun Manager).
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\пользователь\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.Buzus.fidv ( DrWEB: Trojan.Botnetlog.523, BitDefender: Trojan.Generic.4855966, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cax ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4679209, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows\\system32\\5a38baf8.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
-