• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена sdra64.exe. Как бороться?

Статус
В этой теме нельзя размещать новые ответы.

carleta

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
Всем добрый день!
При загрузке компа вылез розовый порно баннер.
Как его убрать? Касперский не помагает...
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,686
Реакции
13,479
Баллы
2,203
Acrobat 7.0 - необходимо обновить до последней актуальной версии.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Alena\Local Settings\Temp\NEventMessages.dll','');
 QuarantineFile('C:\Program Files\WakeMeUp\WMUSvc.exe','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe',' ');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(19);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
 

carleta

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
Архив отправила.

Лог
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3885
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

19.03.2010 15:01:28
mbam-log-2010-03-19 (15-01-28).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Проверено объектов: 152931
Прошло времени: 1 hour(s), 5 minute(s), 30 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 8
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\mjcore.mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files\WebMoney\WebMoney.exe (Spyware.WebMoney) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{469D41ED-C49D-407A-BBF5-B6974196D30E}\RP195\A0139635.sys (Worm.Bagle) -> Quarantined and deleted successfully.
 

akok

Команда форума
Администратор
Сообщения
17,686
Реакции
13,479
Баллы
2,203
Давайте для контроля подготовим свежий комплект логов.

Как состояние машины?

Добавлено через 15 минут 44 секунды
Получил карантин:
c:\program files\plugin.exe -Trojan-Ransom.Win32.PinkBlocker.yr (dr.web: Trojan.Winlock.1109)
 

akok

Команда форума
Администратор
Сообщения
17,686
Реакции
13,479
Баллы
2,203
Активного заражения не вижу.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteStdScr(6);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Не забудьте очистить точки восстановления, которые были созданы во время лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу