Показано с 1 по 17 из 17.

sisgbi32 аналог monoca32 (заявка № 86368)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28

    Thumbs up sisgbi32 аналог monoca32

    sisgbi32 находится в автозагрузке, svchost (DCOM) грузит систему на 50% нет возможности запустить AVZ и HiJackThis (чето новое) поэтому высылаю токо лог из AVPtool. Нет возможности выйти на сайты антивирусов.

    прошу помочь

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Выполните скрипт в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Temp\gtermddo.sys','');    
     QuarantineFile('C:\Documents and Settings\TimBerLen\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
     QuarantineFile('c:\windows\system32\hawdvw.exe','');
     QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
     DeleteFile('c:\windows\system32\hawdvw.exe');
     DeleteFile('C:\Documents and Settings\TimBerLen\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
     DeleteFile('C:\Temp\gtermddo.sys');
     DeleteFile('C:\WINDOWS\system32\mssfc.dll');     
     DeleteService('gtermddo');  
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    - Попробуйте запустить АВЗ и сделать логи им

  4. #3
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    Уже намного лучше исчезли почти все тормоза (svchost не грузит больше) и появился доступ к сайтам антивирусов avz и HiJackThis запустились так что логи я прикрепил. Но все же не все тормоза исчезли иногда врубишь диспетчер задач, а он начинает сжирать 50% цп и со временем это не проходит (слетает в 0% токо если его отрубить) есть подозрение что это из-за Prio. Да и в целом кажется что процессы стали есть побольше оперативки (но ненамного).
    Возможно не в тему но хочу сказать что при входе в безопасный режим у меня намертво отрубилась мышь и клава (они у меня обе на одном USB) после перезагрузки оказалось что слетели дрова и их работа мгновенно востановилась но появилась странность в диспетчере устройств теперь невозможно их удалить и при попытке открыть свойства вылетает сообщение "windows не удается загрузить программу для установки миши/клавы. Обратитесь к поставщику."

    Но все равно заранее СПАСИБО!

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\hawdvw.exe,
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\hawdvw.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повтррите лог virusinfo_syscheck.zip

  6. #5
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    Карантин:
    Файл сохранён как 100826_120846_quarantine_4c76210e7e124.zip
    Размер файла 8845280
    MD5 7a6775ec13cb51a86ec2e7bf32645484

    лог сделал...

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    В логе злого не увидел. Что-нибудь беспокоит?

  8. #7
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    Все в порядке

    Кстати проблема с мышью оказалась в том что из папки System32 пропал sfcfiles.dll но я его вернул на место.
    Проблемка с диспетчером задач описанная выше вроде исчезла, но все же я думаю надо переустановить Prio.
    explorer.exe ест от 10mb - до 50mb (10ок но вот 50?)
    А в остальном все пришло в норму.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    sfcfiles.dll может быть патченным, откуда Вы его вернули?

  10. #9
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    из другой винды

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Если он заведомо чистый, тогда всё нормально.

    Настоятельно рекомендуется обновить - Windows XP SP2, поставить SP3 + поставить все вышедшие заплатки

    - Internet Explorer v7.00

    - Продукты компании Adobe

  12. #11
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    sfcfiles.dll изменен 28.12.2007 6.05 а также проверен авастом.
    Internet Explorer стоит 7 версии (есть желание его удалить т.к. пользуюсь мозилой) поставил бы 8 но требует обновить винду.
    Я бы срадостью ее обновил, но у меня сборка а переустанавливать очень нехочется т.к. настроена была грамотно.
    Adobe плеер и ридер обновляю регулярно, фотошоп стоит старый (CS2 9.0).

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  14. #13
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    палево

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     QuarantineFile('C:\WINDOWS\system32\yrfceb.exe','');
     QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
     DeleteFile('C:\WINDOWS\system32\yrfceb.exe');
     DeleteFile('C:\Program Files\Common Files\keylog.txt');
     DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
     DeleteDirectory('C:\Program Files\Common Files\wm');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог RSIT

  16. #15
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    11
    Вес репутации
    28
    Карантин:
    Файл сохранён как 100826_211218_quarantine_4c76a072c0472.zip
    Размер файла 728437
    MD5 6c737c076af4b5a85b21f2ec508baf18

    При запуске RSIT переписался токо файл LOG вот он...
    Да еще после выполнения скрипта комп долго перезагружался минуты 3-4 а при входе в систему были некоторые тормоза я открыл диспетчер задач и произошла ошибка описанная выше...

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логе подозрительного нет.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\yrfceb.exe - Backdoor.Win32.Shiz.tk ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38809, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-CC [Cryp] )


  • Уважаемый(ая) TimBerLen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 15
      Последнее сообщение: 07.09.2010, 18:30
    2. были проблемы с monoca32,ща sisgbi32 помогите удалить (заявка №28313)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 31.08.2010, 20:00
    3. monoca32.exe и sisgbi32.exe в автозагрузке
      От Ceschi в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.08.2010, 17:41
    4. monoca32 и sisgbi32 - помогите вылечить ноутбук
      От Sleep в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.08.2010, 17:36
    5. Аналог GetModuleFileNameEx() в win 9x
      От Xen в разделе Другие программы по безопасности
      Ответов: 5
      Последнее сообщение: 21.01.2005, 14:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00683 seconds with 16 queries