Как удалить хвосты порнобаннера в виде неубиваемого файла "sisxvy32" в автозагрузке??

ValX · 12.06.2010, 01:24

Здравствуйте. Помогите, пожалуйста, с решением одной проблемы.
После удаления рекламного порнобаннера и проверки и очистки системы антивирусом Dr.Web появилось сильное торможение системы и долгая загрузка программ, окон и пр. Обратил внимание, что в автозагрузке прописался файл sisxvy32, который, по разным отзывам, является причиной всех этих проблем. Обычными средствами этот файл из автозагрузки не удаляется и антивирусные сканеры его также не видят. Что можно сделать в данной ситуации? Если причина в другом, то в чём? Подскажите алгоритм дальнейших действий. Спасибо.

p.s. Логи: AVZ - http://ifolder.ru/18129807, hijackthis - http://ifolder.ru/18129817

winshelp · 12.06.2010, 01:56

ValX, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!

Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/
Профиксите в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=c:windows.1system32userinit.exe,\?globalrootsystemrootsystem32p orppoy.exe,\?globalrootsystemrootsystem32mekpgai.exe,\?globalrootsystemr ootsystem32EnGZaaZ.exe,\?globalrootsystemrootsystem32ntpQ7tO.exe,
O4 - HKLM\..\Run: [explorer] C:\WINDOWS.1\TEMP\~TME.tmp
O4 - Startup: sisxvy32.exe

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.1\TEMP\~TME.tmp','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('\\?\globalroot\systemroot\system32\EnGZaaZ.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ntpQ7tO.exe','');
QuarantineFile('C:\Documents and Settings\ValX\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
DeleteFile('C:\WINDOWS.1\TEMP\~TME.tmp');
DeleteFile('I:\autorun.inf');
DeleteFile('\\?\globalroot\systemroot\system32\EnGZaaZ.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ntpQ7tO.exe');
DeleteFile('C:\Documents and Settings\ValX\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
DeleteFileMask('C:\Documents and Settings\ValX\Local Settings\Temp', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@tut.by
------
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis.

ValX · 12.06.2010, 16:36

Winshelp, здравствуйте. Спасибо за ответ.
Всё сделал, как рекомендовали. Файл virusinfo_syscheck.zip на http://exfile.ru/107386. Лог hijackthis на http://exfile.ru/107388. Какие мои след. действия?

winshelp · 12.06.2010, 16:50

ValX.
Профиксите в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=c:windows.1system32userinit.exe,\?globalrootsystemrootsystem32p orppoy.exe,\?globalrootsystemrootsystem32mekpgai.exe,\?globalrootsystemr ootsystem32EnGZaaZ.exe,\?globalrootsystemrootsystem32ntpQ7tO.exe,

Перегрузите компьютер и сделайте свежий лог HiJackThis.
Вот это программа ваша?
c:\program files\arum switcher\arumswitcher.exe

ValX · 12.06.2010, 17:16

Winshelp.

Сделал. Новый лог на http://exfile.ru/107398

Arum Switcher - это переключатель раскладки клавиатуры ru/en, аналог более известного Punto Switcher. Нареканий к нему нет.

winshelp · 12.06.2010, 17:22

Больше плохого не увидел.
Как самочувствие компьютера?

ValX · 12.06.2010, 17:28

sisxvy32 из автозагрузки исчез. После перезагрузки системы пока всё нормально - не тормозит, не глючит... Поюзаю, время пока мало прошло, может какое-нибудь продолжение откроется... Если можно, в двух словах о причине проблемы: что за sisxvy32? в нём ли всё дело? действительно ли это хвосты порнобаннера? Порекомендовали ещё проверить систему загрузочным диском Dr.WebLiveCD - нужно ли это сейчас?

winshelp · 12.06.2010, 17:39

ValX, в нем и не только. По первому скрипту смотрите, что мы удаляли.
Dr.WebLiveCD - на ваше усмотрение!

ValX · 12.06.2010, 18:01

Winshelp, СПАСИБО ЗА ПОМОЩЬ!!! РЕСПЕКТ И УВАЖУХА, ВЫ - ЛУЧШИЕ!!!

p.s. (если снова будут какие траблы - отпишусь сюда)

12.06.2010, 01:24	#1 (ссылка)
ValX Новичок Регистрация: 11.06.2010 Сообщений: 140 Репутация: 0	Как удалить хвосты порнобаннера в виде неубиваемого файла "sisxvy32" в автозагрузке?? Здравствуйте. Помогите, пожалуйста, с решением одной проблемы. После удаления рекламного порнобаннера и проверки и очистки системы антивирусом Dr.Web появилось сильное торможение системы и долгая загрузка программ, окон и пр. Обратил внимание, что в автозагрузке прописался файл sisxvy32, который, по разным отзывам, является причиной всех этих проблем. Обычными средствами этот файл из автозагрузки не удаляется и антивирусные сканеры его также не видят. Что можно сделать в данной ситуации? Если причина в другом, то в чём? Подскажите алгоритм дальнейших действий. Спасибо. p.s. Логи: AVZ - http://ifolder.ru/18129807, hijackthis - http://ifolder.ru/18129817

12.06.2010, 16:50	#4 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	ValX. Профиксите в HiJackThis: Код: F2 - REG:system.ini: UserInit=c:windows.1system32userinit.exe,\?globalrootsystemrootsystem32p orppoy.exe,\?globalrootsystemrootsystem32mekpgai.exe,\?globalrootsystemr ootsystem32EnGZaaZ.exe,\?globalrootsystemrootsystem32ntpQ7tO.exe, Перегрузите компьютер и сделайте свежий лог HiJackThis. Вот это программа ваша? c:\program files\arum switcher\arumswitcher.exe

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
тип файла -"файл" ??	i7-920	Программы	8	17.11.2010 03:15
"Не удаётся удалить unins000. Диск защищён от записи... "	Stelsclient	Неисправности, настройка	14	17.10.2010 00:32
Нужно удалить "2ую" винду при загрузке...	портос	Windows XP	14	20.09.2010 22:51
Найти "хвосты" от порнобаннера	georgie	Безопасность	10	24.06.2010 17:21
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме.	Мириам	Windows XP	0	24.03.2010 13:11
Инструкция по адресу "0x436b10f" обратилась к памяти "0x03793dac". Вирус?	skazka	Windows XP	12	23.03.2010 04:11
Как удалить файл "ntdll.dll"	Igorigor	Windows XP	3	21.02.2010 14:53
Банальный вопрос, "как удалить?"	GiS2k	Безопасность	1	12.02.2010 11:57
Не работает оция """Эскизы Страниц"""	Stasok94	Неисправности, настройка	2	06.11.2009 18:40
не могу удалить ни одну программу через "установка и удаления програм"и неотображает	gorky	Windows XP	6	24.10.2009 18:34
"хвосты" от Download Master	kikaha	Программы	17	09.10.2009 20:54
При запуске системы выводится окно-"Не удалось запустить "Соседние пользователи""	Ирина К	Windows Vista	2	02.10.2009 15:40

12.06.2010, 16:36	#3 (ссылка)
ValX Новичок Регистрация: 11.06.2010 Сообщений: 140 Репутация: 0	Winshelp, здравствуйте. Спасибо за ответ. Всё сделал, как рекомендовали. Файл virusinfo_syscheck.zip на http://exfile.ru/107386. Лог hijackthis на http://exfile.ru/107388. Какие мои след. действия?

12.06.2010, 17:16	#5 (ссылка)
ValX Новичок Регистрация: 11.06.2010 Сообщений: 140 Репутация: 0	Winshelp. Сделал. Новый лог на http://exfile.ru/107398 Arum Switcher - это переключатель раскладки клавиатуры ru/en, аналог более известного Punto Switcher. Нареканий к нему нет.

12.06.2010, 17:22	#6 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Больше плохого не увидел. Как самочувствие компьютера?

12.06.2010, 17:28	#7 (ссылка)
ValX Новичок Регистрация: 11.06.2010 Сообщений: 140 Репутация: 0	sisxvy32 из автозагрузки исчез. После перезагрузки системы пока всё нормально - не тормозит, не глючит... Поюзаю, время пока мало прошло, может какое-нибудь продолжение откроется... Если можно, в двух словах о причине проблемы: что за sisxvy32? в нём ли всё дело? действительно ли это хвосты порнобаннера? Порекомендовали ещё проверить систему загрузочным диском Dr.WebLiveCD - нужно ли это сейчас?

12.06.2010, 17:39	#8 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	ValX, в нем и не только. По первому скрипту смотрите, что мы удаляли. Dr.WebLiveCD - на ваше усмотрение!

12.06.2010, 18:01	#9 (ссылка)
ValX Новичок Регистрация: 11.06.2010 Сообщений: 140 Репутация: 0	Winshelp, СПАСИБО ЗА ПОМОЩЬ!!! РЕСПЕКТ И УВАЖУХА, ВЫ - ЛУЧШИЕ!!! p.s. (если снова будут какие траблы - отпишусь сюда)

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads