Показано с 1 по 13 из 13.

Баннер 9800 снова появляется (заявка № 67492)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30

    Question Баннер 9800 снова появляется

    Дали мне посмотреть системник, на рабочем столе красовался порно баннер, предлагающий отправить смс на номер 9800. Я нашёл коды активации, баннер исчез, я проверил всё касперским - всё чисто. На след. день баннер вылез снова, снова ввели коды, проверили касперским - ничего нет. Я запустил в безопасном режиме cureit, и через некоторое время комп сам перезагрузился, в обычном режиме - то же самое. Касперский так ничего и не нашёл, AVZ каждый раз показывает на перехват системных функций, но ничего не исправляется.

    Прикладываю логи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteService('synsend');
     DeleteService('lurvixmzwnf');
     StopService('lurvixmzwnf');
     DeleteFile('C:\WINDOWS\system32\drivers\vfguvxnjfxdnt.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\Program Files\plugin.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по Правилам.
    Повторить логи заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Карантин отправил, прикрепляю новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Полная проверка касперским ничего не показала. cureit при проверке как в обычном, так и в безопасном режиме, ребутит комп. Это нормальное для него явление?

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от AlexNA Посмотреть сообщение
    Это нормальное для него явление?
    Нет.
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('synsend');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд скрипт №2. Прислать лог.
    Крайне желательно поставить SP3
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Скрипт выполнил, прикрепляю новый лог. SP3 можно ставить сейчас или лучше на уже точно здоровую машину?
    Вложения Вложения

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Более плохого в логах не вижу. Когда проверку Куреитом делали Касперского отключали?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Да, конечно. Мне кажется, что он просто спотыкается на файле-дистрибутиве архикада. Видимо, пытается его распаковать и не может...

    Добавлено через 7 минут

    В безопасном режиме перестал загружаться
    Последний раз редактировалось AlexNA; 17.01.2010 в 12:11. Причина: Добавлено

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    AVZ - Файл - Восст системы - п.10 отметить и выполнить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Теперь грузится в безопасном режиме, также я поставил SP3. Но куреит всё равно вызывает перезагрузку и в обычном, и в безопасном режиме.
    Причём, при первой попытке запуска в безопасном режиме, куреит выдаёт сообщение, что память не может быть read и во время проверки были найдены вирусы, затем закрывается. Запуск получается только со 2 попытки, во время которой он ребутится и винда при загрузке начинает просить запустить scandisk для проверки.
    В обычном режиме просто ребутится через некоторое время, не выдавая никаких ошибок.

    Добавлено через 1 час 29 минут

    В остальном всё нормально. Видимо, это проблемы либо с хардом, либо с оперативкой.
    Спасибо за помощь!
    Последний раз редактировалось AlexNA; 17.01.2010 в 16:52. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от AlexNA Посмотреть сообщение
    винда при загрузке начинает просить запустить scandisk для проверки.
    Один из дисков - FAT32 имеет, надо его в NFTS перевести, если это не критично.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2010
    Сообщений
    7
    Вес репутации
    30
    Я тоже так сначала подумал, но там только один диск, один раздел и он в NTFS...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Net-Worm.Win32.Koobface.dcz ( DrWEB: Trojan.PWS.Panda.220, BitDefender: Gen:Trojan.Heur.TP.kq0@baf2Cgmi, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) AlexNA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Баннер 9800
      От AkaMana в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.06.2010, 08:44
    2. Баннер 9800
      От krutoyman в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.06.2010, 09:45
    3. баннер смс 9800
      От Sydh в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.06.2010, 21:57
    4. смс-баннер 9800
      От greenland в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.01.2010, 16:22
    5. баннер с смс 9800
      От zooroom в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2010, 16:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00663 seconds with 17 queries