порно смс баннер на рабочем - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - порно смс баннер на рабочем (http://forum.oszone.net/showthread.php?t=158721)

порно смс баннер на рабочем

здравствуйте господа.
ситуация похожа что описал strey , но есть и свои особенности:
баннер вылазит если запускать ехе файлы, но пару раз вылез когда просто ходил по папкам. банер этот заслонят пол-стола и убрать его низзя. в дипетчер\реестр\ зайти тоже никак.
hijackthis запустился только после переименования в 123.сом иначе система просто выключалась )
AVZ незапустился вобще никак, лог зделал с пом лайф-сд.. если это хоть как-то поможет..
тотал тоже незапускается.. призапуске avtoruns.exe система тож перегружается и еще зверь создает на флешках авторан..
в безопасном таже картина.. ну и куреит и аваст молчат как партизаны.

есть sdra.exe в сист32. но какая длл-ка непонятно.. - дата создания этого файла 08.2004.. конечно возможно вирь дату подменить может..

... попробую удалить это файло.. логи атачу, надеюсь на помошь)

.. кажись начинается эпидемия в локалке.. так что без помощи никуда..

эфективно ли будет исполнить скрипты авз, загрузившись лайф сд?
также жутко интересно как оно загружается в безопасном.. как такое вобще возможно( - кажись интегрировано в какой-то системный процес.. но систему переустанавливать никак, надо личить

Цитата:

Цитата Naiki

есть sdra.exe в сист32. но какая длл-ка непонятно.. »

Вот что выдает гугл:

Цитата:

Sdra.exe is Trojan/Backdoor.

удала сдра.ехе.. после ребута невостановился.. но легче нестало(..

Цитата:

Цитата Naiki

AVZ незапустился вобще никак »

Полиморфная версия AVZ тоже не запускается? Попробуйте, если не запуститься, переименуйте в 123.com

Цитата:

Цитата Naiki

эфективно ли будет исполнить скрипты авз, загрузившись лайф сд? »

Нет. Это неправильно.

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O20 - AppInit_DLLs: C:\WINDOWS\system32\veffi.dll

O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)

После перезагрузки сможете сделать полный комплект логов

пасиб.. ток не выдержал юзер - таки форматнули раздел)
но как говорил на 1 компе форматить никак низзя, с него логи скину чуть пожже.
а это линка с той же траблой нагуглил: http://virusinfo.info/showthread.php?t=61603

и поправка нащет куреита - он не молчит, но не запускается тое я пытался его запустить с лайф сд - он начинает сканить и вибрасивает БСОД..
попробую записать мини дистр WindowsXP.USB на флешку + добавлю туда каспера , куреит и попробую так посканить, что получится напишу)

Цитата:

Цитата Naiki

а это линка с той же траблой нагуглил: http://virusinfo.info/showthread.php?t=61603 »

С подобной проблемой народ идет толпами на том же ВИ :)

Принцип действия один: сначала фикс в HiJack строки O20 - AppInit_DLLs , а после перезагрузки уже можно будет выполнить правила в полном объеме

пасиб thyrex, после фикса 020 таки все начало налаживатся).. но попорядку:

- мини дистр незапустил -криво кажись записал) - поставил виды на другой раздел - просканил куреитом - нашо кучу дллок, поделил - после старта системы - баннер снова вылез.. но запустил хайджека -пофиксил строку и все ок..
логи выкладываю:

Naiki, Это не совсем те логи, логи от AVZ должны быть:

1. virusinfo_syscure.zip
2. virusinfo_syscheck.zip

+ к Drongo

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe,C:\WINDOWS\system32\sdra64.exe,

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Потом на сбор новых логов с учетом рекомендаций из сообщения №9