-
Junior Member
- Вес репутации
- 56
Последствия sisgbi32?
Доброе время суток.
Требуется помощь. Пару дней назад CureIt прибил несколько вирусов, в том числе и sisgbi32.
Однако сейчас Nod32 не загружается, HiJackThis и AVZ сразу же автоматически закрывается, последнюю удается запустить только с AG=Y AM=Y. Периодически появляется блокировка антивирусных сайтов посредством задания статических маршрутов. Система заметно тормозит.
Все приложения запускаются только единожды, потом выдает сообщение что доступ к файлу запрещен.
При загрузке пытается установить "неизвестное устройство".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\wbegso.exe','');
DeleteFile('c:\windows\system32\wbegso.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=86712).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Благодарю, но похоже за прошедшую ночь разобрался с проблемой самостоятельно, не дождавшись ответа. Симптомы исчезли после вот такого скрипта:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
DeleteService('PCIDump');
StopService('PCIDump');
BC_DeleteSvc('PCIDump');
BC_DeleteFile('PCIDump.sys');
BC_DeleteFile('c:\windows\system32\wbegso.exe');
BC_DeleteFile('d:\c8e47ab3a9a37744d9\wgasetup.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
По этому карантин прислать, увы, не могу, поскольку запрошенный Вами файл уже удален.
Буду благодарен если укажете на недостатки рожденного мной скрипта. Может в системе еще остались какие-нибудь "хвосты"?
