Решена Нужна помощь с удалением вируса

[СЭМ]

Компьютерные гуру, помогите, кто, чем сможет.
Завелась зверушка на машине. Вирь какой-то или троян. Похож на Tiniresu или Sdra64.
Касаперыч установлен, обновляется постоянно… не помогло, пропустил супостата.
Полная проверка на максимальных настройках результата не дала: Найденно 0.
Постоянно вылазит процесс, Касперыч ругается дюже.

14.11.2009 9:08:54 Защита вашего компьютера работает.
14.11.2009 9:24:01 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,).
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) заблокирована.
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe).
14.11.2009 9:24:14 Процесс C:\Temp\15.tmp (PID: 4068): попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe) заблокирована.
14.11.2009 9:24:20 Процесс C:\Temp\15.tmp (PID 4068) успешно завершен.
14.11.2009 9:24:22 Откат успешно выполнен.

ZBotKiller_v2 с сайта каспера ничего не нашел.
Вот такие пироги… из папки C:\Temp я файлы завирусованные вручную удалял, не помогает, они появляются снова только имена меняются:15.tmp, 3.tmp, 5.tmp… и т.д.
Файл: C:\WINDOWS\system32\userinit.exe = 26624 байт, должен быть не более 25600. Похоже он завирусован. Я его удалил и подменил таким же (он, вроде, стандартный) с другого компьютера. Файл: C:\WINDOWS\system32\sdra64.exe Я найти не могу, в папке system32 его нет. В процессах sdra64 тоже не видно (ProcessExplorer). Стоит подключится к инету и начинается…
ОС: ХР про 3 сервиспак, Касперский7. Dr.Web® CureIt зависает, Касперский отключал, в режиме защиты от сбоев запускал... не работает. Блин… жо..ой чую, придется искать специалиста.
Если можно все подробнее, для чайника.
Убей винду..., этот способ я и сам знаю.
Всем спасибо.

 

[Sergei]

СЭМ, выполните эти правила: https://safezone.cc/forum/showthread.php?t=15

 

[СЭМ]

выполните эти правила

Надеюсь, все сделал правильно.
Я в этом неочень разбираюсь

 

[Sergei]

а где virusinfo_syscheck.zip и virusinfo_syscure.zip ?

 

[СЭМ]

Вот они. Только разобрался с программой.:mda:

 

[СЭМ]

Sergei, спасибо. Написал Вам в ЛС.

 

[akok]

Пофиксить в HijackThis следующие строчки

 	F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe fsxa.vno usvweob

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\progra~1\micros~4\rapimgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\fsxa.vno','');
 DeleteFile('C:\WINDOWS\system32\fsxa.vno');
 QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(16);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к этой теме


Обновите Reader 8.0 до версии Reader 9.х


Повторите логи

 

[СЭМ]

Я уже выполнил скрипт:

begin
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\fsxa.vno');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Sergei, помог, спасибо ему.
После этого Ваш скрипт тоже нужно выполнить? Или все уже сделанно?

 

[Sergei]

СЭМ, выполните рекомендации акок обязательно .

это был только минимум пока не было хелперов онлине

 

[СЭМ]

Спасибо Вам ребята. Все выполнил по инструкции. Файл карантина выложил в соответствующей ветке. Сейчас сделаю новые логии и выложу.

 

[akok]

Я уже выполнил скрипт:

Откуда скрипт вестимо?

 

[СЭМ]

Откуда скрипт вестимо?

Sergei дал.
Новые логи

 

[СЭМ]

Обновите Reader 8.0 до версии Reader 9.х

akoK, мне нужно удалить Reader и установить более новую версию?
Я сейчас качаю с официального ресурса версию 9.2. Жаль она на английском языке.
Пробовал обновить свой Reader, программа скачала из сети 15 мб обновлений но так и осталась 8.1 Я думал, можно обновить не удаляя… чайник

 

[akok]

Sergei дал.

ok. Теперь понял... вопрос снят.


СЭМ, как самочуствие?

 

[СЭМ]

как самочуствие?

Отлично, все работает, Касперский молчит.
Reader я поставил 9.2
Больше ничего не нужно делать?...УРА:dance3:

 

[akok]

Я ничего вредоносного не вижу.

Я сейчас качаю с официального ресурса версию 9.2. Жаль она на английском языке.

Перед скачиванием нужно язык выбрать

 

[СЭМ]

Спасибо за помощь.
Вопрос. Программы avz, HijackThis и RSIT можно удалить с компьтера? Ведь в случае проблем все равно придется скачивать свежие версии.
Папки с программами просто перетащить в корзину или нужно как-то их удалять?

 

[akok]

СЭМ, конечно можно удалить. Не забывайте пересоздать точку восстановления.

 

[СЭМ]

Подскажите, пожалуйста. Касперский находит процесс:
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Определяет его как потенциально опасный.
Я так понял это часть Reader 9.2
Это процесс должен быть, добавить его в исключения Касперского?
Логи нужны?

 

[СЭМ]

На всякий "пожарный" выкладываю логи.
Касперский ругается на этот процесс при каждой перезагрузке.
Проверьте, пожалуйста.