Браузерный вирус
#1
Отправлено 14 Ноябрь 2009 - 04:24
У меня возникла следующая проблема:
при запуске любого браузера перед открытием какого нибудь сайта
появляется текстовое окно с надписью "Hello" и кнопкой "OK".
Просканировал CureIt. Поиск не дал результатов.
Поиск в Google выдал, что такая проблема уже была однако её решения нигде не предлагалось.
Подскажите пожалуйста в чем проблема.
P.S. Прочитал Правила раздела "Помощь по лечению".
Сканирование требует времени.
Так как подобная проблема не нова, надеюсь, что решение уже есть, однако если понадобятся логи то обязательно выложу.
#2
Отправлено 14 Ноябрь 2009 - 07:29
#3
Отправлено 14 Ноябрь 2009 - 09:47
#4
Отправлено 14 Ноябрь 2009 - 10:04
#5
Отправлено 14 Ноябрь 2009 - 14:41
Прикрепленные файлы:
#6
Отправлено 14 Ноябрь 2009 - 15:01
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe fsxa.vno usvweob
Найти на диске файл C:\WINDOWS\system32\sdra64.exe и отправить в вирлаб..Ссылка вверху "Прислать вирус",а потом фиксит с помощью HJ
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
http://wiki.drweb.com/index.php/HijackThis
-------
На www.virustotal.com
c:\documents and settings\павел\local settings\temp\ee.tmp
Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 15:06
добавлено
#7
Отправлено 14 Ноябрь 2009 - 15:17
#8
Отправлено 14 Ноябрь 2009 - 15:24
А вот этого нет C:\WINDOWS\system32\sdra64.exe искал по разному! Как найти дайте совет
http://wiki.drweb.com/index.php/Скрытые_процессы
Лучше Gmer'ом
#9
Отправлено 14 Ноябрь 2009 - 16:15
#10
Отправлено 14 Ноябрь 2009 - 16:19
Сейчас напишу батник ...ужас, в общем пробую делать так как вы порекомендовали, пофиксел, но при повторном запуске сканирования это - F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe не куда не дилась, а после запуска браузера это - F2 - REG:system.ini: Shell=explorer.exe rundll32.exe fsxa.vno usvweob появляеться вновь. Пробую Gmer'ом, захожу в раздел файл а диски в окошке не активны!
А с помощью RKU файл можете найти?
Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 16:21
#11
Отправлено 14 Ноябрь 2009 - 16:41
Please wait wheile RkU makes scan
You can stop scan by pressing "Cancel"
Getting list of files and directories (C:\)
нажимаю единственно предложенную кнопку Cancel программа виснет
#12
Отправлено 14 Ноябрь 2009 - 16:45
в разделе файл выбираю скан, появляеться окошко select Disks for Scan, в нем мои диски, я подтвержаю ок, после чего появляеться окошко с таким содержимым:
Please wait wheile RkU makes scan
You can stop scan by pressing "Cancel"
Getting list of files and directories (C:\)
нажимаю единственно предложенную кнопку Cancel программа виснет
А зачем Cancel нажимаете?Пусть просканирует.
#13
Отправлено 14 Ноябрь 2009 - 17:02
#14
Отправлено 14 Ноябрь 2009 - 17:03
Откуда ж я знаю?примерное время сканирования скажите ? процесс просто долгий
Вам шашечки или ехать?
Вы ж надеюсь Вы поставили только диск С?
Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 17:05
#15
Отправлено 14 Ноябрь 2009 - 17:11
Да ток С
#16
Отправлено 14 Ноябрь 2009 - 17:34
А то я ещё только на скане застрял: запускаю этот батник, а он выдает ошибку какую то вроде как не может создать папку,
потом запускает CureIt, формирует сразу же лог "cureit-fast.log". Я жму пуск на CureIt, происходит быстрая проверка и на этом все заканчивается.
В батнике же прописан вызов CureIt 3 раза с разными параметрами. Вот не знаю почему оно так =(.
#17
Отправлено 14 Ноябрь 2009 - 17:47
C:\Windows\system32\sdra64.exe
C:\Windows\system32\lowsec\local.ds
C:\Windows\system32\lowsec\user.ds
у всех статус hidden
это то что выдало при сканировании, что дальше подскажите ?
#18
Отправлено 14 Ноябрь 2009 - 17:50
Щелчек правой кнопкой мышки на файле...И выбрать "Copy File"..Ну и сохраните его в какую нибудь папку..потом сжать архиватором с паролем virus и в вирлаб...Вверху ссылка "Прислать вирус"C:\Windows\system32\sdra64.exe
C:\Windows\system32\lowsec\local.ds
C:\Windows\system32\lowsec\user.ds
Сообщение было изменено mrbelyash: 14 Ноябрь 2009 - 18:03
#19
Отправлено 14 Ноябрь 2009 - 18:04
решил потом папку эту удолить куда поместил этих гадов, а она не удаляеться
#20
Отправлено 14 Ноябрь 2009 - 18:08
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых