-
Junior Member
- Вес репутации
- 50
Прошу помочь победить sisgbi32
Добрый вечер!
Во время работы самопроизвольно включился Windows Media Player. Потом появлялись другие окна. В Автозагрузке появилась sisgbi32. Пропали все контрольные точки восстановления, которые раньше позволяли избавляться от многих проблем.
Самое главное, не могу с этого ПК пройти по ссылкам Вашего сайта, прочитать правила, обновить AVZ, зайти на сайты с Антивирусами и т.д. – всё скачивал и обновлял на работе.
ЛОГИ
Последний раз редактировалось Xryl; 27.08.2010 в 23:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC8660C-7D5D-429C-A189-0CDA08713358}: NameServer = 85.255.116.41,85.255.112.148
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer =
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer =
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer =
Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в обычном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Спасибо!
Но это не скоро произойдет - тормозим-с...
Добавлено через 38 минут
Вы писали:
Сделайте новые логи в обычном режиме
Вопрос.
Нужно ли в этом режиме выполнять пункты 5. и 6.?
т.е. отключить восстановление системы и так далее?
Последний раз редактировалось Xryl; 28.08.2010 в 00:27.
Причина: Добавлено
-
Выполнить еще раз написанное в разделе Диагностика
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Лог полного сканирования.
-
Удалите в MBAM:
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\online_sex_tv_v.2.0.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2ac8660c-7d5d-429c-a189-0cda08713358}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.41,85.255.112.148 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{734359a9-a4fb-45a8-8e75-f829df7f6d20}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.41,85.255.112.148 -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Что с проблемой?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Удал в MBAM.
На сайт Dr.Web теперь могу зайти. База AVZ обновляются.
Но в TuneUp Utilities в Менеджере Автозагрузки остался sisgbi32. См. Миниатюру.
Хорошо хоть неактивный.
Нужно ли бороться дальше?
Если да, то как?
-
Этого файла уже нет на диске. Где хранит записи данная утилита мне не известно, вообще не рекомендую пользоваться всяческими тюн апами. Пуск - выполнить - msconfig - вкладка Автозагрузка, там есть эта запись?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
миднайт
Пуск - выполнить - msconfig - вкладка Автозагрузка, там есть эта запись?
Нет больше этой записи.
Спасибо большое.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.VB.aorv ( DrWEB: Trojan.Packed.20894, BitDefender: Trojan.Generic.4762990, AVAST4: Win32:Malware-gen )
-