middleYearsAldus.exe

Printable View

03.01.2010, 22:14
Blastoderm

middleYearsAldus.exe

Сегодня файл middleYearsAldus.exe , находящийся в папке
C:\Documents and Settings\user\Local Settings\Temp
попытался изменить процесс winlogon, о чем мне доложил Аутпост Про
Файл весит 106 кб и я подозреваю, что это вирус. Гугл ничем помочь не смог. Есть идеи, что это?
03.01.2010, 22:41
thyrex

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
04.01.2010, 18:00
Blastoderm

Сегодня появился вирус Ekav antivirus...
Вот логи которые успел сделать до появления окна. Пишу из-под другой операционки.
Больше AVZ запустить не могу - комп перезагружается
04.01.2010, 21:30
thyrex

[QUOTE='Blastoderm;551819']Пишу из-под другой операционки.[/QUOTE]Она установлена на этом компьютере?

Если да, тогда выполните следующее из незараженной системы (лучше с помощью файлового менеджера типа Total Commander или Far):
1. Поищите в зараженной системе [B]C:\WINDOWS\system32\dllcache\IMS.CAT:CZQCEkGWDD[/B] (файл скорее всего будет скрытым) и другие файлы со странным названием (к имени файла дописано что-то после двоеточия) и размером, идентичным размеру данного файла. Искать нужно по всему системному диску зараженной системы
2. Переместите все такие файлы в отдельную папку.
3. Туда же переместите файл C:\WINDOWS\system32\sdra64.exe
4. Упакуйте несколько файлов, включая C:\WINDOWS\system32\sdra64.exe с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
5. Пробуйте делать логи с зараженной системы
05.01.2010, 01:26
Blastoderm

Такого файла нет, есть только ims.cat (без двоеточия и тд)
sdra64.exe закачал
Файл сохранён как 100105_013113_sdra64_4b426c311cd7e.zip
Размер файла 107605
MD5 be5f7e91267a66445d876a7800f8e7c6
05.01.2010, 03:05
Blastoderm

Подобрал код, сделал логи
06.01.2010, 13:11
thyrex

В карантине новый зловред [B]Trojan-Spy.Win32.Zbot.adpr[/B]

Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Проверьтесь [url]http://support.kaspersky.ru/viruses/solutions?qid=208636281[/url]

Сделайте новые логи
06.01.2010, 13:57
PavelA

Пароли надо будет сменить.
07.01.2010, 13:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \sdra64.exe - [B]Trojan-Spy.Win32.Zbot.adpr[/B] ( BitDefender: Gen:Trojan.Heur.GZ.gmGfbekqhjg, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]