-
Junior Member
- Вес репутации
- 50
sisgbi32(?) не могу избавиться
доброго времени суток. кратко о сути проблемы, при загрузке комп перестал реагировать на команды, на рабочем столе открывались только текстовые файлы, комп впадает с ступор минут на 20, диспетчер задач в это время не доступен, через 20 минут все приходит в норму и можно пользоваться интернетом и софтом. пытаясь выяснить причины ступора наткнулся на sisgbi32 в автозагрузке, почистил курейтом (в безопасном режиме), sisgbi32 пропал, больше курейт ничего не находит, но ступор остался. полагаю что не полностью вычистился sisgbi32 т.к. в аналогичных темах жалуются на долгую загрузку компов, либо это что-то совсем мне не известное.
прошу помощи, логи прилагаю.
спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ничего плохого не видно
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
лог полного сканирования МВАМ
по зараженным файлам могу сказать что в первых трех случаях (если смотреть сверху вниз) ругается на кейгены, эти программы у меня давно и дело не в них. файл hosts у меня чистый, его курейт не так давно правил, и сейчас проверил, он без изменений, а вот четвертый пункт я не знаю что такое. про реестр ничего не скажу - не понимаю.
и еще у меня вопрос: не так давно курейт стал предлагать запускаться в "режиме усиленной защиты", для сканирования, описанного в правилах сайта, все равно нужно загружаться в безопасном режиме или режима усиленной защиты достаточно?
p.s сейчас прогонял курейт в безопасном режиме.
-
Удалите в МВАМ -
Код:
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
- Больше плохого не видно
-
-
Junior Member
- Вес репутации
- 50
удалил. извиняюсь, затупил с hosts, тот о котором я говорил находится по другому адресу.
проблема осталась.
-
-
-
Junior Member
- Вес репутации
- 50
лог Combofix
есть небольшой прогресс, на загрузку ушло 10 минут
Последний раз редактировалось Vig; 15.09.2010 в 21:42.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32\config\systemprofile\Application Data\rhjodx.dat');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 50
после выполнения первого скрипта и перезагрузки, секунд 30 можно было пользоваться компом, но потом все равно впал в ступор на 10 минут. карантин отправил, файл sfcfiles.log прилагаю.
-
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива.
-
-
Junior Member
- Вес репутации
- 50
после ввода команды, в консоли восстановления, cd x:\i386 (где X буква привода) пишет: "Не удается найти указанный путь или папку". папка такая на диске есть, есть и файл который нужно восстановить, с расширением .dl_. есть система донор, нет ли инструкции как произвести восстановление файла от донора? а то мне это видится так, скопипастить из здоровой системы нужный файл и вставить в больную, но есть сомнения что так будет правильно.
сейчас при попытке запустить daemon tools (хотел попробовать с образа восстановить файл) получил нижеследующее предупреждение:
"Для данного приложения необходима, как минимум, windows 2000 и SPTD 1,60 или выше. Отладчик ядра должен быть деактивирован. ОК"
вчера все нормально работало.
Последний раз редактировалось Vig; 17.09.2010 в 18:25.
-
-
-
Junior Member
- Вес репутации
- 50
распаковал архив, скопировал файл в папку C:\WINDOWS\System32 , перезагрузился, проблема осталась
-
- Удалите ComboFix
проблема в чем?
-
-
Junior Member
- Вес репутации
- 50
удалил ComboFix
проблема в том, что комп при загрузке работает секунд 30 и после этого впадает ступор на 10 минут. за время 30 секундной работы в диспетчер задач выйти не получается. после ступора все работает нормально, за исключением daemon tools который я вчера не смог запустить и поискав не нашел вообще его следов, кроме ярлыка в панели задач. видимо что-то из лечащих программ его затерло, переустановил, работает.
вот список автозагрузки: http://s44.radikal.ru/i104/1009/20/5705ffbdb5a0.jpg
нет там ничего такого что может подвесить комп на 10 минут или 20 минут, как было при обращении.
если вариантов с вирусами нет, то буду копаться в железе, HD Tune на шлейф диска C ругался, попробую его поменять, хотя маловероятно, если бы шлейф был сильно поврежден вообще не загружался-бы. ну и начну морально готовиться к переустановке операционки.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-