Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » порно смс баннер на рабочем

Ответить
Настройки темы
порно смс баннер на рабочем

Аватара для Naiki

Новый участник


Сообщения: 42
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt hijackthis.txt
(5.4 Kb, 11 просмотров)
Тип файла: txt avz_log.txt
(4.0 Kb, 6 просмотров)
здравствуйте господа.
ситуация похожа что описал strey , но есть и свои особенности:
баннер вылазит если запускать ехе файлы, но пару раз вылез когда просто ходил по папкам. банер этот заслонят пол-стола и убрать его низзя. в дипетчер\реестр\ зайти тоже никак.
hijackthis запустился только после переименования в 123.сом иначе система просто выключалась )
AVZ незапустился вобще никак, лог зделал с пом лайф-сд.. если это хоть как-то поможет..
тотал тоже незапускается.. призапуске avtoruns.exe система тож перегружается и еще зверь создает на флешках авторан..
в безопасном таже картина.. ну и куреит и аваст молчат как партизаны.

есть sdra.exe в сист32. но какая длл-ка непонятно.. - дата создания этого файла 08.2004.. конечно возможно вирь дату подменить может..

... попробую удалить это файло.. логи атачу, надеюсь на помошь)

.. кажись начинается эпидемия в локалке.. так что без помощи никуда..

эфективно ли будет исполнить скрипты авз, загрузившись лайф сд?
также жутко интересно как оно загружается в безопасном.. как такое вобще возможно( - кажись интегрировано в какой-то системный процес.. но систему переустанавливать никак, надо личить

Отправлено: 17:46, 30-11-2009

 

Аватара для Habetdin


Автор проектов


Сообщения: 3651
Благодарности: 1498

Профиль | Сайт | Отправить PM | Цитировать

Цитата Naiki:
есть sdra.exe в сист32. но какая длл-ка непонятно.. »
Вот что выдает гугл:
Цитата:
Sdra.exe is Trojan/Backdoor.

-------
Рекомендую: $25 на тест виртуального сервера (VPS) за регистрацию по ссылке

Отправлено: 17:58, 30-11-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Naiki

Новый участник


Сообщения: 42
Благодарности: 0

Профиль | Отправить PM | Цитировать

удала сдра.ехе.. после ребута невостановился.. но легче нестало(..

Отправлено: 18:04, 30-11-2009 | #3


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

Цитата Naiki:
AVZ незапустился вобще никак »
Полиморфная версия AVZ тоже не запускается? Попробуйте, если не запуститься, переименуйте в 123.com

Цитата Naiki:
эфективно ли будет исполнить скрипты авз, загрузившись лайф сд? »
Нет. Это неправильно.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Отправлено: 18:54, 30-11-2009 | #4


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать

Пофиксите в HiJack
Код: Выделить весь код
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\veffi.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
После перезагрузки сможете сделать полный комплект логов

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:13, 30-11-2009 | #5


Аватара для Naiki

Новый участник


Сообщения: 42
Благодарности: 0

Профиль | Отправить PM | Цитировать

пасиб.. ток не выдержал юзер - таки форматнули раздел)
но как говорил на 1 компе форматить никак низзя, с него логи скину чуть пожже.
а это линка с той же траблой нагуглил: http://virusinfo.info/showthread.php?t=61603

и поправка нащет куреита - он не молчит, но не запускается тое я пытался его запустить с лайф сд - он начинает сканить и вибрасивает БСОД..
попробую записать мини дистр WindowsXP.USB на флешку + добавлю туда каспера , куреит и попробую так посканить, что получится напишу)

Отправлено: 10:27, 01-12-2009 | #6


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать

Цитата Naiki:
а это линка с той же траблой нагуглил: http://virusinfo.info/showthread.php?t=61603 »
С подобной проблемой народ идет толпами на том же ВИ

Принцип действия один: сначала фикс в HiJack строки O20 - AppInit_DLLs , а после перезагрузки уже можно будет выполнить правила в полном объеме

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:44, 01-12-2009 | #7


Аватара для Naiki

Новый участник


Сообщения: 42
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt avz_log.txt
(8.3 Kb, 2 просмотров)
Тип файла: txt hijackthis.log.txt
(4.5 Kb, 3 просмотров)

пасиб thyrex, после фикса 020 таки все начало налаживатся).. но попорядку:

- мини дистр незапустил -криво кажись записал) - поставил виды на другой раздел - просканил куреитом - нашо кучу дллок, поделил - после старта системы - баннер снова вылез.. но запустил хайджека -пофиксил строку и все ок..
логи выкладываю:

Отправлено: 12:42, 05-12-2009 | #8


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

Naiki, Это не совсем те логи, логи от AVZ должны быть:

1. virusinfo_syscure.zip
2. virusinfo_syscheck.zip

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Отправлено: 13:08, 05-12-2009 | #9


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать

+ к Drongo

Пофиксите в HiJack
Код: Выделить весь код
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Потом на сбор новых логов с учетом рекомендаций из сообщения №9

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи

Отправлено: 19:18, 05-12-2009 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » порно смс баннер на рабочем

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Порно баннер+win32.kido.ih+трояны ((((( Nightslim Лечение систем от вредоносных программ 54 23-12-2009 22:21
порно баннер (смс) на раб столе strey Лечение систем от вредоносных программ 6 28-11-2009 11:48
Порно баннер burundook Лечение систем от вредоносных программ 1 18-09-2009 21:30
Порно баннер в IE другой Rock Лечение систем от вредоносных программ 6 07-08-2009 04:16
[решено] Порно баннер в IE seman Лечение систем от вредоносных программ 6 31-07-2009 22:13


« Предыдущая тема | Следующая тема »


 
Переход