sisgbi32

Printable View

27.08.2010, 11:22
Илюшка

sisgbi32

Проблема, аналогичная этой. [url]http://virusinfo.info/showthread.php?t=86487[/url]
С той лишь разницей, что компьютер загружается, только в безопасном режиме. В обычном, зависает на входе в систему. Плюс ко всему, перестали запускаться все браузеры, кроме Mozilla.
27.08.2010, 11:52
polword

тключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://avptool.ru/ru/AVPTool_helpdesk_curescript.htm"]выполните скрипт[/URL] в [B][COLOR="Blue"]AVPTool[/COLOR][/B]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\odbjh.dll','');
QuarantineFile('C:\WINDOWS\system32\3dec2a22.exe','');
DeleteFile('C:\WINDOWS\system32\3dec2a22.exe');
DeleteFile('C:\WINDOWS\system32\odbjh.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ibhdsvcp\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive('C:\quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из корня диска С загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [COLOR="Blue"][B]log.txt[/B][/COLOR] и [COLOR="Blue"][B]info.txt[/B][/COLOR]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.35[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
27.08.2010, 12:20
Илюшка

Добавил
27.08.2010, 12:27
polword

[QUOTE=polword;696599]
- скачайте новую версию AVZ - 4.35
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)[/QUOTE]
а это где?
27.08.2010, 12:33
Илюшка

Добавил
27.08.2010, 13:06
Илюшка

Вроде бы, все правильно сделал :)
27.08.2010, 14:11
polword

логи сделайте в нормальном режиме
27.08.2010, 14:13
Илюшка

[B]polword[/B], Не могу. В обычном режиме, система зависает, при выборе пользователя.
27.08.2010, 14:32
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\PCIDump');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\mqxxek\PCIDump');
DeleteFile('C:\Documents and Settings\Общий\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Общий^Главное меню^Программы^Автозагрузка^sisgbi32.exe');
QuarantineFile('C:\WINDOWS\system32\94d5db92.exe','');
QuarantineFile('C:\WINDOWS\system32\4641089e.exe','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\94d5db92.exe');
DeleteFile('C:\WINDOWS\system32\4641089e.exe');
DelBHO('');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

попробуйте сделать в нормальном режиме
27.08.2010, 14:54
Илюшка

После выполнения скрипта, начал загружаться рабочий стол, но ни на какие манипуляции он не откликается( то есть, пуск, мой компьютер и т.д. никак не реагируют).
Посему, прикладываю логи из безопасного режима.
27.08.2010, 15:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\pcidump.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\pcidump.sys');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]

попробуйте сделать в нормальном режиме
27.08.2010, 15:31
Илюшка

Вроде бы система, начала нормально работать. Загрузился в обычном режиме.
К сожалению, файл карантина не получается загрузить на форум( из-за размера), поэтому загрузил на другой хостинг.
[url]http://narod.ru/disk/24156136000/quarantine.zip.html[/url]
27.08.2010, 15:36
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('PCIDump');
DeleteFile('C:\WINDOWS\system32\Drivers\pcidump.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\pcidump.sys');
BC_DeleteSvc('PCIDump');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]
27.08.2010, 15:46
Илюшка

Сделал
29.08.2010, 11:13
polword

- [B][COLOR="Red"]Отключите Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]

повторите [URL="http://virusinfo.info/showpost.php?p=696779&postcount=13"]этот [/URL]скрипт

- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
29.08.2010, 16:13
Илюшка

Отключил системное восстановление, сделал повторный лог.
29.08.2010, 18:40
polword

В логах чисто.Что с проблемой?
29.08.2010, 19:14
Илюшка

Проблема, вроде бы решилась. Спасибо за помощь.
Однако, после захода под своей учетной записью и начала работы, слышен звук приветствия(стандартная мелодия). Причем, эта мелодия срабатывает только через несколько минут, после начала работы.
Не знаю, вирус ли это или нет. Но, несколько настораживает.
29.08.2010, 20:37
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
31.08.2010, 17:47
Илюшка

Сделал отчеты.
01.09.2010, 03:30
Никита Соловьев

Удалите:

[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\MS Sertified app (Malware.Trace) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Общий\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\1.exe (Trojan.Agent) -> No action taken.[/CODE]

Повторите лог МВАМ
10.09.2010, 12:57
Илюшка

Удалил, сделал повторный лог.
Проявились новые симптомы( а может быть я их просто не замечал).
1) При распаковке из winrara файлов, часто перезагружается компьютер.
2) Звук приветствия, также запаздывает.
3)Порой, антивирусные сайты, перестают загружаться( в том числе и этот). Помогает, только route -f .
4)Ну и при запуске браузера, сразу после загрузки системы. Выдает ошибку о том, что нет такого файла.
10.09.2010, 16:02
Никита Соловьев

[QUOTE='Илюшка;704323']Ну и при запуске браузера[/QUOTE]Какой браузер уточните
10.09.2010, 16:52
Илюшка

[QUOTE=Venus Doom;704411]Какой браузер уточните[/QUOTE]
Opera.
Хочу также уточнить, имеется несколько компьютеров, выходящих через роутер в интернет.
На них появились те же симптомы. Значит ли это, что если этот компьютер вылечить. Он возможно в последствии, снова подхватит недуг, от других компьютеров?
10.09.2010, 16:54
Никита Соловьев

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=58309]ComboFix[/URL]
10.09.2010, 17:54
Илюшка

Сделал.
После проверки, на диске С:\ появился txt файл, в котором описан весь лог из mail agent. Это нормально? Просто уверен, что до этого, лога не было.
10.09.2010, 17:59
Никита Соловьев

[QUOTE='Илюшка;704437']На них появились те же симптомы. Значит ли это, что если этот компьютер вылечить. Он возможно в последствии, снова подхватит недуг, от других компьютеров?[/QUOTE]Неизвестно

Что с проблемой на Вашем ПК?
10.09.2010, 18:11
Илюшка

С оперой проблема решена,но осталась:
2) Звук приветствия, также запаздывает.
10.09.2010, 18:32
Никита Соловьев

Попробуйте переустановить драйвер звуковой карты. Желательно загрузить последнюю версию с сайта производителя
10.09.2010, 18:40
Илюшка

[QUOTE=Venus Doom;704474]Попробуйте переустановить драйвер звуковой карты. Желательно загрузить последнюю версию с сайта производителя[/QUOTE]
Я наверное плохо описал проблему, под отставанием звука, я подразумевал до загрузку системы.То есть, с компьютером работать невозможно, пока не прозвучит данная мелодия(не открывается проводник, браузер и прочее). Такое состояние, может продлиться до нескольких минут.
А с самим драйвером, никаких проблем нет.

UPD: Я подозреваю, что всему виной неисправная(возможно) память. Так что, проблема снимается.
Пока, больше жалоб нет. Я думаю, тему можно закрывать.
Всем спасибо, за помощь.
11.09.2010, 18:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\3dec2a22.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows\\system32\\4641089e.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )[/LIST][/LIST]