Перейти к содержимому


Фото
- - - - -

Браузерный вирус


  • Please log in to reply
67 ответов в этой теме

#1 Zoro

Zoro

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 14 Ноябрь 2009 - 04:24

Доброго времени суток.

У меня возникла следующая проблема:

    при запуске любого браузера перед открытием какого нибудь сайта

    появляется текстовое окно с надписью "Hello" и кнопкой "OK".




Просканировал CureIt. Поиск не дал результатов.

Поиск в Google выдал, что такая проблема уже была однако её решения нигде не предлагалось.

Подскажите пожалуйста в чем проблема.




P.S. Прочитал  Правила раздела "Помощь по лечению".

Сканирование требует времени.

Так как подобная проблема не нова, надеюсь, что решение уже есть, однако если понадобятся логи то обязательно выложу. 

#2 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 14 Ноябрь 2009 - 07:29

Всё же лучше сделать логи. Это надежнее и в итоге быстрее будет.

#3 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 09:47

Вобщем та же проблема, при вызове любого браузера появляется вот такое сообщениев окошке  «Hello» и предлагаетсянажать ниже кнопку ОК

#4 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 10:04

http://forum.drweb.com/index.php?showtopic=277652
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#5 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 14:41

Прикрепленные файлы:



#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 15:01

 Фиксить с помощью HJ

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe fsxa.vno usvweob


Найти на диске файл C:\WINDOWS\system32\sdra64.exe и отправить в вирлаб..Ссылка вверху "Прислать вирус",а потом фиксит с помощью HJ

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

http://wiki.drweb.com/index.php/HijackThis
-------

На www.virustotal.com


c:\documents and settings\павел\local settings\temp\ee.tmp

Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 15:06
добавлено

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 15:17

А вот этого нет  C:\WINDOWS\system32\sdra64.exe искал по разному! Как найти дайте совет

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 15:24

А вот этого нет  C:\WINDOWS\system32\sdra64.exe искал по разному! Как найти дайте совет


http://wiki.drweb.com/index.php/Скрытые_процессы

Лучше Gmer'ом
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 16:15

ужас, в общем пробую делать так как вы порекомендовали, пофиксел, но при повторном запуске сканирования это - F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe не куда не дилась, а после запуска браузера это - F2 - REG:system.ini: Shell=explorer.exe rundll32.exe fsxa.vno usvweob появляеться вновь. Пробую   Gmer'ом, захожу в раздел файл а диски в окошке не активны!

#10 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 16:19

ужас, в общем пробую делать так как вы порекомендовали, пофиксел, но при повторном запуске сканирования это - F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe не куда не дилась, а после запуска браузера это - F2 - REG:system.ini: Shell=explorer.exe rundll32.exe fsxa.vno usvweob появляеться вновь. Пробую   Gmer'ом, захожу в раздел файл а диски в окошке не активны!

Сейчас напишу батник ...

А с помощью RKU файл можете найти?

Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 16:21

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#11 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 16:41

в разделе файл выбираю скан, появляеться окошко select Disks for Scan, в нем мои диски, я подтвержаю ок, после чего появляеться окошко с таким содержимым:

Please wait wheile RkU makes scan 

You can stop scan by pressing "Cancel"

Getting list of files and directories (C:\) 
нажимаю единственно предложенную кнопку Cancel программа виснет

#12 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 16:45

в разделе файл выбираю скан, появляеться окошко select Disks for Scan, в нем мои диски, я подтвержаю ок, после чего появляеться окошко с таким содержимым:

Please wait wheile RkU makes scan 

You can stop scan by pressing "Cancel"

Getting list of files and directories (C:\) 
нажимаю единственно предложенную кнопку Cancel программа виснет


А зачем Cancel нажимаете?Пусть просканирует.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#13 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:02

примерное время сканирования скажите ? процесс просто долгий 

#14 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:03

примерное время сканирования скажите ? процесс просто долгий 

Откуда ж я знаю? :(

Вам шашечки или ехать?

Вы ж надеюсь Вы поставили только диск С?


Отправленное изображение

Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 17:05

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#15 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:11

:(  да лан нормально буду ждать, просто самому любопытно, что за гадасть такая, я пол дня провел в сети пытаяюсь чтото похожие найти, и не нашол. Попробую описать все что мне кажеться подозрительным: в общем началось вчера, сначало стала вылетать Опера, при чем при копировании, дело в том что я плохо знаю русский (потологически, паял схемы вместо русского и литературы) и часто копирую с ворда текст, но в этот раз при копировании опера вылетала сразу, а после очередного сбоя появилось вот это дуратское сообщение, попробовал запустить интернет эксплорер, в нем было все нормально, но как ток я перегрузил комп, и интернет эксплорер тож стал выдавать это окошко, пока не нажмеш в нем ок доступа к браузеру нет ни какого.  

Да ток С

#16 Zoro

Zoro

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:34

Я смотрю тут уже все в самом разгаре, а я только пришел. Что ж, буду с нетерпением ждать результатов.

А то я ещё только на скане застрял: запускаю этот батник, а он выдает ошибку какую то вроде как не может создать папку,

потом запускает CureIt, формирует сразу же лог "cureit-fast.log". Я жму пуск на CureIt, происходит быстрая проверка и на этом все заканчивается.

В батнике же прописан вызов CureIt 3 раза с разными параметрами. Вот не знаю почему оно так =(.

#17 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:47

C:\system volume Information\_restore{1A13B773-4B05-4448-AE05-4CBFDF702662}\RP477\A0156237.vdb 

C:\Windows\system32\sdra64.exe

C:\Windows\system32\lowsec\local.ds

C:\Windows\system32\lowsec\user.ds

у всех статус hidden

это то что выдало при сканировании, что дальше подскажите ?

#18 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 14 Ноябрь 2009 - 17:50

C:\Windows\system32\sdra64.exe
C:\Windows\system32\lowsec\local.ds
C:\Windows\system32\lowsec\user.ds

Щелчек правой кнопкой мышки на файле...И выбрать "Copy File"..Ну и сохраните его в какую нибудь папку..потом сжать архиватором с паролем virus  и в вирлаб...Вверху ссылка "Прислать вирус"



Отправленное изображение

Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 18:03

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#19 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 18:04

да так и сделал, скопировал в папку, потом в архив и на оф сайте отправил, но есть одно но, когда я копировал эти файлы то последний хоть убей не видеться user.ds который, я даже не уверен что он скопировался, уже по разному тож пробовал!







:(  решил потом папку эту удолить куда поместил этих гадов, а она не удаляеться 

#20 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 14 Ноябрь 2009 - 18:08

пишет Unable to copy file в общем не в каую этот файл user.ds


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых