4 ответов в этой теме

[Fan68]

Добрый день!

У меня такая же проблема на одном из компьютеров - SMS - вымогатель за регистрацию Get accelerator. Просят отправить SMS с кодом 262060448 на номер 1350.

DrWeb этого трояна не обнаружил.

Логи прилагаются (RootKit при запуске ругается - скриншот также прилагается).

Заранее благодарен за помощь.

Дмитрий

Прикрепленные файлы:

•  drw_results.cab   124,67К   52 Скачано раз
•  hj.rar   2,99К   36 Скачано раз
•  RKU_Report.rar   4,91К   45 Скачано раз
•  scrshot.rar   744,84К   55 Скачано раз

[YVS]

Пофиксите в Хайджеке
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Файл
C:\WINDOWS\system32\sdra64.exe
отправьте в вирлаб

Проверьте на VirusTotal
C:\WINDOWS\temp\2.tmp
C:\WINDOWS\temp\Del68.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\belowWith.exe

Сообщение было изменено YVS: 30 Ноябрь 2009 - 15:12
Добавил сообщение

[Fan68]

Большое спасибо за оперативный ответ.

Помогите, пожалуйста, найти файл C:\WINDOWS\system32\sdra64.exe

В "Проводнике" его не видно (показывать скрытые и системные установлено).

Результат проверки VirusTotal:

C:\WINDOWS\temp\2.tmp - 0 байт
C:\WINDOWS\temp\Del68.tmp - ничего подозрительного не найдено
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\belowWith.exe - 50/50 (отчет прилагается)


Заранее благодарен.
Дмитрий

Прикрепленные файлы:

•  virustotal__belowWith_.rar   298,09К   64 Скачано раз

[YVS]

Помогите, пожалуйста, найти файл C:\WINDOWS\system32\sdra64.exe

Скрытые процессы - GMER

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\belowWith.exe - 50/50 (отчет прилагается)

Отпавьте его в вирлаб (ссылка "Прислать вирус" вверху страницы)

З.Ы. Можно просто привести ссылку на результаты проверки VirusTotal

[Borka]

AndreyK
Тема выделена: http://forum.drweb.com/index.php?showtopic=285861