-
Junior Member
- Вес репутации
- 54
Помогите избавится от "UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,,C :\WI NDOWS\system32\sdra64.exe"
Здравствуйте!
Помогите, пожалуйста избавится от зверя!..
NOD32 молчит... но вирус точно есть...
В HJT есть такая строчка - "REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,,C:\WIN DOWS\system32\sdra64.exe" - профиксить ее не получается... вернее, она опять появляется...
В автозапуске присудствует вот это - "C:\WINDOWS\system32\sdra64.exe" - удалить/отключить неполучается... появляется снова, причем при каждой попытке удалить из автозапуска, появляется еще однаЮ такая же строчка... и так до бесконечности...
Очень жду помощи! )))
Вот логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,,C:\WINDOWS\system32\sdra64.exe
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
executewizard('TSW',3,3,true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
-
-
Junior Member
- Вес репутации
- 54
Все сделал...
В HJT стала периодически появлятся во эта строчка "O17 - HKLM\System\CCS\Services\Tcpip\..\{C1C350F4-90EB-4C66-88C2-8469F597D039}: NameServer = 88.87.64.6 88.87.65.3"... фикс не помогает...
Карантин выслал.
Вот новые логи:
-
Junior Member
- Вес репутации
- 54
Результат загрузки карантина...
Файл сохранён как 100116_005810_quarantine_4b50e4f2a09b9.zip
Размер файла 103513
MD5 9744ee3be3971c56139df9143145f3f1
-
Ничего зловредного в логах не увидела.
Сообщение от
Музык@нт
В HJT стала периодически появлятся во эта строчка "O17 - HKLM\System\CCS\Services\Tcpip\..\{C1C350F4-90EB-4C66-88C2-8469F597D039}: NameServer = 88.87.64.6 88.87.65.3"... фикс не помогает...
А Вам кто-то сказал это фиксить???
88.87.64.6
address: ZAO Elsvyaz-Volgograd
address: Sevastopol'skaya str., 58
address: 400087 Volgograd
address: Russian Federation
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Aleksandra
А Вам кто-то сказал это фиксить???
Никто... просто показалось, что зловред...
В автозапуске есть 5 строчек - "File not found: C:\WINDOWS\system32\sdra64.exe"... удаление не помогает, появляется снова...
И вместо одной строчки - "Приложение Userinit для входа в систему Корпорация Майкрософт c:\windows\system32\userinit.exe" появилось две...
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Aleksandra
Это где такое?
Всмысле, в какой проге?!
Приложение Total Commander - "Autoruns v8.30, Sysinternals"...
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Всем СПАСИБО за помощь...
Будем надеяться, что все будет хорошо! )))
Всем удачи!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Net-Worm.Win32.Koobface.cwq ( DrWEB: Trojan.PWS.Panda.217, BitDefender: Gen:Trojan.Heur.TP.hq0@bSxHJkji, AVAST4: Win32:Malware-gen )
-