sdra64.exe

Printable View

17.12.2009, 20:30
ims

sdra64.exe

здравствуйте.
была проблема с вылетом интернет эксплорера и некоторых других программ с одной и той же ошибкой
[SIZE=1][SIZE=1]Ошибка приложения iexplore.exe, версия 6.0.2900.5512, модуль , версия 0.0.0.0, адрес 0x00000000.[/SIZE]
[SIZE=1][SIZE=2]вирусы вроде поудаляли, ошибка исчезла, но через пару дней все началось по новой.[/SIZE]
[SIZE=2]оцените пожалуйста ситуацию, на этот раз комп чист, или в скором времени трояны вернутся на свои места?[/SIZE]
[SIZE=2]спасибо![/SIZE]
[/SIZE]
[/SIZE]
18.12.2009, 00:08
Ingener

1) Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14111
R3 - URLSearchHook: (no name) - - (no file)[/CODE]
2) Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('X:\WF\Dsstart.exe','');
QuarantineFile('C:\WINDOWS\FG\FG.EXE','');
QuarantineFile('C:\WINDOWS\ZFTmp\ZMenu6699.DLL','');
QuarantineFile('overlapp32.dll','');
DeleteFile('overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
4) Сделайте новые логи virusinfo_syscure.zip + hijackthis.log + такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
18.12.2009, 00:28
ims

[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14111[/CODE]
это параметр банк-клиента
файл 'overlapp32.dll' удалил вручную, видимо остались записи в реестре.
диск X: сетевой.

завтра выполню скрипты, спасибо Вам)
18.12.2009, 10:50
ims

немного отредактировал скрипты.
как уже писал выше прокся на локалхосте ставится банк-клиентом R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14111 его я соответственно не фиксил.
файл X:\WF\Dsstart.exe тоже легитимный, строку QuarantineFile('X:\WF\Dsstart.exe',''); убрал.

пофиксил
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R3 - URLSearchHook: (no name) - - (no file)[/CODE]

выполнил
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\FG\FG.EXE','');
QuarantineFile('C:\WINDOWS\ZFTmp\ZMenu6699.DLL','');
QuarantineFile('overlapp32.dll','');
DeleteFile('overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

карантин выслал.
Malwarebytes Antimalware запущу позже - очень долго сканирует)
18.12.2009, 15:35
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\FG\FG.EXE');
DeleteFile('C:\WINDOWS\ZFTmp\ZMenu6699.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог syscure (только п.1 раздела Диагностика).
19.12.2009, 15:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]