-
Junior Member
- Вес репутации
- 52
middleYearsAldus.exe
Сегодня файл middleYearsAldus.exe , находящийся в папке
C:\Documents and Settings\user\Local Settings\Temp
попытался изменить процесс winlogon, о чем мне доложил Аутпост Про
Файл весит 106 кб и я подозреваю, что это вирус. Гугл ничем помочь не смог. Есть идеи, что это?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сегодня появился вирус Ekav antivirus...
Вот логи которые успел сделать до появления окна. Пишу из-под другой операционки.
Больше AVZ запустить не могу - комп перезагружается
Последний раз редактировалось Blastoderm; 04.01.2010 в 18:16.
-
Сообщение от
Blastoderm
Пишу из-под другой операционки.
Она установлена на этом компьютере?
Если да, тогда выполните следующее из незараженной системы (лучше с помощью файлового менеджера типа Total Commander или Far):
1. Поищите в зараженной системе C:\WINDOWS\system32\dllcache\IMS.CAT:CZQCEkGWDD (файл скорее всего будет скрытым) и другие файлы со странным названием (к имени файла дописано что-то после двоеточия) и размером, идентичным размеру данного файла. Искать нужно по всему системному диску зараженной системы
2. Переместите все такие файлы в отдельную папку.
3. Туда же переместите файл C:\WINDOWS\system32\sdra64.exe
4. Упакуйте несколько файлов, включая C:\WINDOWS\system32\sdra64.exe с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
5. Пробуйте делать логи с зараженной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Такого файла нет, есть только ims.cat (без двоеточия и тд)
sdra64.exe закачал
Файл сохранён как 100105_013113_sdra64_4b426c311cd7e.zip
Размер файла 107605
MD5 be5f7e91267a66445d876a7800f8e7c6
Последний раз редактировалось Blastoderm; 05.01.2010 в 02:36.
-
Junior Member
- Вес репутации
- 52
Подобрал код, сделал логи
-
В карантине новый зловред Trojan-Spy.Win32.Zbot.adpr
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636281
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Пароли надо будет сменить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \sdra64.exe - Trojan-Spy.Win32.Zbot.adpr ( BitDefender: Gen:Trojan.Heur.GZ.gmGfbekqhjg, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-