-
Junior Member
- Вес репутации
- 54
SDRA64
Доброго времени суток,
Завёлся на работе такой зверь и гуляет по сети, уже "пролечил" с десяток PC, на всякий случай выложу информацию о нём: во первых активно шлёт пакеты по сети, во вторых(замечено не у всех) блокирует корректную работу Windows,она запускается с синим "рабочим столом",диспетчер задач можно вызвать да и только. Ну и вопрос имеется - можете посоветовать средство или способ как ограничить его распространение в сети а желательно и проникновение?
вот что в реестре нашёл HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
C:\RECYCLER\S-1-5-21-5769176618-7491953110-048298601-8348\nissan.exe
а вот и SDRA64: HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\sdra64.exe,
вот скрипт, который я запустил
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\RECYCLER\S-1-5-21-5769176618-7491953110-048298601-8348\nissan.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','' );
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5769176618-7491953110-048298601-8348\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Winlogon почистил после перезагрузки.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
в догонку карантин
Файл сохранён как 100125_124259_virus_4b5d67a3b1027.zip
Размер файла 104394
MD5 8d907822363a0bddaa6f74ad08ee69ec
-
Здравствуйте.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5769176618-7491953110-048298601-8348\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5769176618-7491953110-048298601-8348\nissan.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Просканируйтесь ZbotKillerom (ссылка в подписи) Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 54
карантин см. в моём предыдущем посте, повторные логи прилагаю, ZbotKiller - обнаружил 2 инфицированных файла
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.gen ( DrWEB: Trojan.PWS.Panda.238, BitDefender: Trojan.Generic.2997272, NOD32: Win32/Spy.Zbot.WM trojan, AVAST4: Win32:Zbot-MQF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-