• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Помогите удалить вирус

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#1
Компьютерные гуру, помогите, кто, чем сможет.
Завелась зверушка на машине. Вирь какой-то или троян. Похож на Tiniresu или Sdra64.
Касаперыч установлен, обновляется постоянно… не помогло, пропустил супостата.
Полная проверка на максимальных настройках результата не дала: Найденно 0.
Постоянно вылазит процесс, Касперыч ругается дюже.

14.11.2009 9:08:54 Защита вашего компьютера работает.
14.11.2009 9:24:01 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,).
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) заблокирована.
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe).
14.11.2009 9:24:14 Процесс C:\Temp\15.tmp (PID: 4068): попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe) заблокирована.
14.11.2009 9:24:20 Процесс C:\Temp\15.tmp (PID 4068) успешно завершен.
14.11.2009 9:24:22 Откат успешно выполнен.
ZBotKiller_v2 с сайта каспера ничего не нашел.
Вот такие пироги… из папки C:\Temp я файлы завирусованные вручную удалял, не помогает, они появляются снова только имена меняются:15.tmp, 3.tmp, 5.tmp… и т.д.
Файл: C:\WINDOWS\system32\userinit.exe = 26624 байт, должен быть не более 25600. Похоже он завирусован. Я его удалил и подменил таким же (он, вроде, стандартный) с другого компьютера. Файл: C:\WINDOWS\system32\sdra64.exe Я найти не могу, в папке system32 его нет. В процессах sdra64 тоже не видно (ProcessExplorer). Стоит подключится к инету и начинается…
ОС: ХР про 3 сервиспак, Касперский7. Dr.Web® CureIt зависает, Касперский отключал, в режиме защиты от сбоев запускал... не работает. Блин… жо..ой чую, придется искать специалиста.
Если можно все подробнее, для чайника.
Убей винду..., этот способ я и сам знаю.:eek:
Всем спасибо.
 

Sergei

Активный пользователь
Сообщения
382
Симпатии
285
#4
а где virusinfo_syscheck.zip и virusinfo_syscure.zip ?
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#5
Вот они. Только разобрался с программой.:mda:
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,490
#7
Пофиксить в HijackThis следующие строчки
Код:
 	F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe fsxa.vno usvweob
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\progra~1\micros~4\rapimgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\fsxa.vno','');
 DeleteFile('C:\WINDOWS\system32\fsxa.vno');
 QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(16);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к этой теме


Обновите Reader 8.0 до версии Reader 9.х


Повторите логи
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#8
Я уже выполнил скрипт:
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\fsxa.vno');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Sergei, помог, спасибо ему.
После этого Ваш скрипт тоже нужно выполнить? Или все уже сделанно?
 

Sergei

Активный пользователь
Сообщения
382
Симпатии
285
#9
СЭМ, выполните рекомендации акок обязательно .

это был только минимум пока не было хелперов онлине
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#10
Спасибо Вам ребята. Все выполнил по инструкции. Файл карантина выложил в соответствующей ветке. Сейчас сделаю новые логии и выложу.
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#13
Обновите Reader 8.0 до версии Reader 9.х
akoK, мне нужно удалить Reader и установить более новую версию?
Я сейчас качаю с официального ресурса версию 9.2. Жаль она на английском языке.
Пробовал обновить свой Reader, программа скачала из сети 15 мб обновлений но так и осталась 8.1 Я думал, можно обновить не удаляя… чайник :)
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,490
#16
Я ничего вредоносного не вижу.
Я сейчас качаю с официального ресурса версию 9.2. Жаль она на английском языке.
Перед скачиванием нужно язык выбрать :)
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#17
Спасибо за помощь.
Вопрос. Программы avz, HijackThis и RSIT можно удалить с компьтера? Ведь в случае проблем все равно придется скачивать свежие версии.
Папки с программами просто перетащить в корзину или нужно как-то их удалять?
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,490
#18
СЭМ, конечно можно удалить. Не забывайте пересоздать точку восстановления.
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#19
Подскажите, пожалуйста. Касперский находит процесс:
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Определяет его как потенциально опасный.
Я так понял это часть Reader 9.2
Это процесс должен быть, добавить его в исключения Касперского?
Логи нужны?
 

СЭМ

Активный пользователь
Сообщения
13
Симпатии
0
#20
На всякий "пожарный" выкладываю логи.
Касперский ругается на этот процесс при каждой перезагрузке.
Проверьте, пожалуйста.
 
Сверху Снизу