Автозагрузка - sisxvy32.exe

Brimoff · 08.06.2010, 03:21

в автозагрузке sisxvy32
svchost опять 50%
http://exfile.ru/106408
http://exfile.ru/106409

winshelp · 08.06.2010, 05:43

Brimoff, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!

Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/
Профиксите в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=E:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32baO gYnX.exe,\?globalrootsystemrootsystem326xLJ3y0.exe,
O4 - HKLM\..\Run: [services.exe] E:\WINDOWS\services.exe
O4 - Startup: sisxvy32.exe

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\docume~1\863e~1\locals~1\temp\updates.exe');
QuarantineFile('e:\docume~1\863e~1\locals~1\temp\updates.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\6xLJ3y0.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\baOgYnX.exe','');
QuarantineFile('E:\WINDOWS\services.exe','');
QuarantineFile('E:\Documents and Settings\Максим\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
DeleteFile('E:\Documents and Settings\Максим\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
DeleteFile('e:\docume~1\863e~1\locals~1\temp\updates.exe');
DeleteFile('\\?\globalroot\systemroot\system32\6xLJ3y0.exe');
DeleteFile('\\?\globalroot\systemroot\system32\baOgYnX.exe');
DeleteFile('E:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@tut.by
-----
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis.

Brimoff · 09.06.2010, 21:25

Попал на комп вирус
Блокировал диспетчер задач,антивирус и браузер.
Выскакивал баннер смс на номер
друг на сайте касперского нашел код для снятия
svchost не перегружается
http://exfile.ru/106806
http://exfile.ru/106807

winshelp · 09.06.2010, 21:55

В HOSTS файле записи вот эти вам знакомы?

85.12.46.140 odnoklassniki.ru
85.12.46.140 www.odnoklassniki.ru
85.12.46.140 vkontakte.ru
85.12.46.140 www.vkontakte.ru
85.12.46.140 vk.com
85.12.46.140 www.vk.com
85.12.46.140 odnoklassniki.ru
85.12.46.140 www.odnoklassniki.ru
85.12.46.140 vkontakte.ru
85.12.46.140 www.vkontakte.ru
85.12.46.140 vk.com
85.12.46.140 www.vk.com

Brimoff · 09.06.2010, 21:58

Честно говоря не понял что должен проверить)
На сайтах этих бываю но вот IP этот не узнаю
Если важно баннер pornhub на номер 3381

01pump · 09.06.2010, 22:34

Brimoff,

Запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sysdrv32');
DeleteService('ISE');
DeleteFile('e:\windows\microsoft.net\framework\wdm.exe');
DeleteFile('e:\WINDOWS\system32\taskmgrs.exe');
DeleteFile('E:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('E:\WINDOWS\system32\drivers\etc\hosts);
DeleteFile('E:\DOCUME~1\863E~1\LOCALS~1\Temp\pdfupd.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','start 1');
DeleteFile('E:\WINDOWS\system32\gmdjdyx.exe');
DeleteFile('E:\WINDOWS\system\dllcache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log

Brimoff · 10.06.2010, 13:19

http://exfile.ru/106958
http://exfile.ru/106959
Появилась проблема я пользуюсь Maxthon и теперь он стал вырубаться на 20 секунде где-то из-за чего не знаю
Я б просто переустановил но у меня там закладок 60 (сам конечно адресы сайтов не помню)

01pump · 10.06.2010, 13:24

Brimoff,

Обновите базы avz : Файл-Обновление баз и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Brimoff · 10.06.2010, 13:42

еще 1 проблема -_- жму на ссылку http://exfile.ru а открывается http://www.venkos.ru/category/14-society/index.html
пробовал письмо в мейле написать жму Написать письмо тоже самое

---------- Добавлено в 12:42 ---------- Предыдущее сообщение было написано в 12:42 ----------

http://exfile.ru/106978

01pump · 10.06.2010, 13:47

Brimoff,

Это у вас в Мозилле такая беда? А что в Internet Explorer ?

Выполните такой скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true); 
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4); 
RebootWindows(true);
end.

ЗЫ В Установка и удаление программ у вас есть Microsoft Net Framework ? Он какой версии?

Brimoff · 10.06.2010, 13:47

Вообщем на какую ссылку не жму вылетает этот сайт

01pump · 10.06.2010, 13:48

Brimoff,

См выше

Brimoff · 10.06.2010, 13:53

Там 2 и 3 стоит -_-

01pump · 10.06.2010, 13:54

Цитата:

Сообщение от Brimoff

Там 2 и 3 стоит -_-

А что с Internet Explorer ?

Brimoff · 10.06.2010, 14:03

щас запустил вроде все нормально
но Maxthon продолжает вылетать(

---------- Добавлено в 13:03 ---------- Предыдущее сообщение было написано в 12:56 ----------

опять любая ссылка на тот сайт

08.06.2010, 03:21	#1 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	Автозагрузка - sisxvy32.exe в автозагрузке sisxvy32 svchost опять 50% http://exfile.ru/106408 http://exfile.ru/106409

10.06.2010, 13:47	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Brimoff, Это у вас в Мозилле такая беда? А что в Internet Explorer ? Выполните такой скрипт Код: begin SearchRootkit(true, true); SetAVZGuardStatus(true); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end. ЗЫ В Установка и удаление программ у вас есть Microsoft Net Framework ? Он какой версии?

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
А где в Семерке Автозагрузка ?	NYuri	Windows 7	4	25.11.2010 23:32
автозагрузка	prosha	Железо	3	12.10.2010 12:49
автозагрузка необходимых прог	kikaha	Утилиты	3	20.08.2010 22:58
автозагрузка глючит!	shaman!	Безопасность	1	28.06.2010 00:38
Автозагрузка в Win7	Alek-sey	Windows 7	3	20.06.2010 16:00
Как удалить хвосты порнобаннера в виде неубиваемого файла "sisxvy32" в автозагрузке??	ValX	Безопасность	8	12.06.2010 18:01
Слетела автозагрузка...=(	DoTTy	Windows XP	3	15.03.2010 22:00
Почему не работает автозагрузка	oristotel	Windows XP	3	28.01.2010 01:08
Автозагрузка	Mazuta	Windows XP	13	08.11.2009 17:01
автозагрузка	Bruce	Windows XP	13	24.06.2009 22:47
Автозагрузка	monte-kristo	Windows XP	10	22.12.2008 21:45
Автозагрузка	Vater	Безопасность	6	20.05.2008 19:36

09.06.2010, 21:25	#3 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	Попал на комп вирус Блокировал диспетчер задач,антивирус и браузер. Выскакивал баннер смс на номер друг на сайте касперского нашел код для снятия svchost не перегружается http://exfile.ru/106806 http://exfile.ru/106807

09.06.2010, 21:55	#4 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	В HOSTS файле записи вот эти вам знакомы? 85.12.46.140 odnoklassniki.ru 85.12.46.140 www.odnoklassniki.ru 85.12.46.140 vkontakte.ru 85.12.46.140 www.vkontakte.ru 85.12.46.140 vk.com 85.12.46.140 www.vk.com 85.12.46.140 odnoklassniki.ru 85.12.46.140 www.odnoklassniki.ru 85.12.46.140 vkontakte.ru 85.12.46.140 www.vkontakte.ru 85.12.46.140 vk.com 85.12.46.140 www.vk.com

09.06.2010, 21:58	#5 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	Честно говоря не понял что должен проверить) На сайтах этих бываю но вот IP этот не узнаю Если важно баннер pornhub на номер 3381

10.06.2010, 13:19	#7 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	http://exfile.ru/106958 http://exfile.ru/106959 Появилась проблема я пользуюсь Maxthon и теперь он стал вырубаться на 20 секунде где-то из-за чего не знаю Я б просто переустановил но у меня там закладок 60 (сам конечно адресы сайтов не помню)

10.06.2010, 13:24	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Brimoff, Обновите базы avz : Файл-Обновление баз и выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

10.06.2010, 13:42	#9 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	еще 1 проблема -_- жму на ссылку http://exfile.ru а открывается http://www.venkos.ru/category/14-society/index.html пробовал письмо в мейле написать жму Написать письмо тоже самое ---------- Добавлено в 12:42 ---------- Предыдущее сообщение было написано в 12:42 ---------- http://exfile.ru/106978

10.06.2010, 13:47	#11 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	Вообщем на какую ссылку не жму вылетает этот сайт

10.06.2010, 13:48	#12 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Brimoff, См выше

10.06.2010, 13:53	#13 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	Там 2 и 3 стоит -_-

10.06.2010, 14:03	#15 (ссылка)
Brimoff Новичок Регистрация: 11.05.2010 Сообщений: 51 Репутация: 0	щас запустил вроде все нормально но Maxthon продолжает вылетать( ---------- Добавлено в 13:03 ---------- Предыдущее сообщение было написано в 12:56 ---------- опять любая ссылка на тот сайт

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)