12.06.2010, 01:24 | #1 (ссылка) |
Новичок
Регистрация: 11.06.2010
Сообщений: 140
Репутация: 0
|
Как удалить хвосты порнобаннера в виде неубиваемого файла "sisxvy32" в автозагрузке??
Здравствуйте. Помогите, пожалуйста, с решением одной проблемы.
После удаления рекламного порнобаннера и проверки и очистки системы антивирусом Dr.Web появилось сильное торможение системы и долгая загрузка программ, окон и пр. Обратил внимание, что в автозагрузке прописался файл sisxvy32, который, по разным отзывам, является причиной всех этих проблем. Обычными средствами этот файл из автозагрузки не удаляется и антивирусные сканеры его также не видят. Что можно сделать в данной ситуации? Если причина в другом, то в чём? Подскажите алгоритм дальнейших действий. Спасибо. p.s. Логи: AVZ - http://ifolder.ru/18129807, hijackthis - http://ifolder.ru/18129817 |
12.06.2010, 01:56 | #2 (ссылка) |
Знаток
|
ValX, здравствуйте.
Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ Профиксите в HiJackThis: Код:
F2 - REG:system.ini: UserInit=c:windows.1system32userinit.exe,\?globalrootsystemrootsystem32p orppoy.exe,\?globalrootsystemrootsystem32mekpgai.exe,\?globalrootsystemr ootsystem32EnGZaaZ.exe,\?globalrootsystemrootsystem32ntpQ7tO.exe, O4 - HKLM\..\Run: [explorer] C:\WINDOWS.1\TEMP\~TME.tmp O4 - Startup: sisxvy32.exe Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.1\TEMP\~TME.tmp',''); QuarantineFile('I:\autorun.inf',''); QuarantineFile('\\?\globalroot\systemroot\system32\EnGZaaZ.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\ntpQ7tO.exe',''); QuarantineFile('C:\Documents and Settings\ValX\Главное меню\Программы\Автозагрузка\sisxvy32.exe',''); DeleteFile('C:\WINDOWS.1\TEMP\~TME.tmp'); DeleteFile('I:\autorun.inf'); DeleteFile('\\?\globalroot\systemroot\system32\EnGZaaZ.exe'); DeleteFile('\\?\globalroot\systemroot\system32\ntpQ7tO.exe'); DeleteFile('C:\Documents and Settings\ValX\Главное меню\Программы\Автозагрузка\sisxvy32.exe'); DeleteFileMask('C:\Documents and Settings\ValX\Local Settings\Temp', '*.*', true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. ----- Выполнить еще такой скрипт в AVZ. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. ------ Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis. |
12.06.2010, 16:36 | #3 (ссылка) |
Новичок
Регистрация: 11.06.2010
Сообщений: 140
Репутация: 0
|
Winshelp, здравствуйте. Спасибо за ответ.
Всё сделал, как рекомендовали. Файл virusinfo_syscheck.zip на http://exfile.ru/107386. Лог hijackthis на http://exfile.ru/107388. Какие мои след. действия? |
12.06.2010, 16:50 | #4 (ссылка) |
Знаток
|
ValX.
Профиксите в HiJackThis: Код:
F2 - REG:system.ini: UserInit=c:windows.1system32userinit.exe,\?globalrootsystemrootsystem32p orppoy.exe,\?globalrootsystemrootsystem32mekpgai.exe,\?globalrootsystemr ootsystem32EnGZaaZ.exe,\?globalrootsystemrootsystem32ntpQ7tO.exe, Вот это программа ваша? c:\program files\arum switcher\arumswitcher.exe |
12.06.2010, 17:16 | #5 (ссылка) |
Новичок
Регистрация: 11.06.2010
Сообщений: 140
Репутация: 0
|
Winshelp.
Сделал. Новый лог на http://exfile.ru/107398 Arum Switcher - это переключатель раскладки клавиатуры ru/en, аналог более известного Punto Switcher. Нареканий к нему нет. |
12.06.2010, 17:28 | #7 (ссылка) |
Новичок
Регистрация: 11.06.2010
Сообщений: 140
Репутация: 0
|
sisxvy32 из автозагрузки исчез. После перезагрузки системы пока всё нормально - не тормозит, не глючит... Поюзаю, время пока мало прошло, может какое-нибудь продолжение откроется... Если можно, в двух словах о причине проблемы: что за sisxvy32? в нём ли всё дело? действительно ли это хвосты порнобаннера? Порекомендовали ещё проверить систему загрузочным диском Dr.WebLiveCD - нужно ли это сейчас?
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|