Backdoor:Win32/Sdbot

Доброго времени суток.
Пролема началась давно: сначала комп валился в БСОД после выхода из гибернации. Потом Защитник стал выдавать алерты о вирусе, хотя самого вируса не находил. Неоднократные проверки защитником ни к чему не привели. При попытке установить тулзу от касперского - БСОД, даже в безопасном режиме.
Сейчас каждые пять минут Защитник выдает:

[B]Обнаруженный элемент:[/B] Backdoor:Win32/Sdbot

[B]Произошла следующая ошибка:[/B] Код ошибки 0x80508023. Не удалось найти вредоносные и другие потенциально нежелательные программы на этом компьютере.


[B]Категория:[/B] Лазейка


[B]Описание: [/B]Эта программа является потенциально опасной.


[B]Рекомендуемое действие:[/B] Разрешать выполнение следует только в том случае, если вы доверяете программе или издателю программного обеспечения.


[B]Объекты: [/B]
file:C:\OneDriveTemp\S-1-5-21-4001166648-3135061734-1305208584-1000\F8E2662074ABF4D6!132-F8E2662074ABF4D6!12287-F8E2662074ABF4D6!12298-e986dbd2260e289b681ee312b4543703.temp


Удаление папки OneDriveTemp положительного результата не дает, через пять минут - все по новой.

Уважаемый(ая) [B]kvv_1980[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.


[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/mxsnUu6AW9jSk]отсюда[/url]. Если лог не поместится во вложениях загрузите его на [url]http://rghost.ru/[/url]



[quote="kvv_1980;1134745"]При попытке установить тулзу от касперского - БСОД[/quote]на данный момент это известный баг совместимости с win 8.1. Но можете установить какой-нибудь из продуктов касперского, он должен нормально встать.

[url]http://virusinfo.info/virusdetector/report.php?md5=EFC33F351CBF5274B04FB0B6190992DA[/url]

Bonanza Deals - деинсталируйте.
Html5 geolocation provider, Update for Html5 geolocation provider - тоже рекомендую деинсталировать.

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите.

скрипт для uVS дам чуть позже.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.83 BETA 1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

BREG
delref HTTP://WEBALTA.RU/SEARCH
restart[/CODE]


[quote="kvv_1980;1134745"]Объекты:
file:C:\OneDriveTemp\S-1-5-21-4001166648-3135061734-1305208584-1000\F8E2662074ABF4D6!132-F8E2662074ABF4D6!12287-F8E2662074ABF4D6!12298-e986dbd2260e289b681ee312b4543703.temp


Удаление папки OneDriveTemp положительного результата не дает, через пять минут - все по новой.[/quote]
OneDrive - это от SkyDrive - пользуетесь им?

+ - Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

выполнил скрипт, но отчет ZOO не сформировался.
скан Malware прикрепил

1) папку
[CODE]C:\AdwCleaner\[/CODE]
удалите вручную.
2) Выбросьте мусор из корзины.
3) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] всё кроме

[CODE]PUP.Optional.OpenCandy, C:\Users\????N?\Downloads\DTLite4454-0315.exe, No Action By User, [e899603d1c5f48eeec8d645a82824eb2], [/CODE]
если этот файл не нужен, то тоже удалите.

4) Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите [i]webalta[/i], нажмите "начать поиск", сохраните протокол и выложите в ответ. [b]НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!![/b].

[url]http://rghost.ru/private/56839873/8a7aef6d1e039ac1a53b49c558824d5a[/url]

еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все" и кнопку "удалить ... "

Отпишитесь о проблеме.

не помогло

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Не получается запустить.

[B]ComboFix is not meant to run in 'Compatibility Mode'.
The program shell now exit.[/B]

Естественно пробовал с разными режимами совместимости и без таковых.
Погуглил, пишут что в Win 8 программа не работает.

Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Скачал, запусти, проверил.
Нашел одну угрозу, убрал в карантин.
По указанному адресу никакого лога не появилось. Да и папки такой не появилось. только: C:\TDSSKiller_Quarantine

Скопировал из программы Отчет. Прикрепляю.

[url]http://rghost.ru/private/56886820/3383653c902a67dddfcdc43aef08ac10[/url]

Настройки перед сканированием меняли? ;)
Заархивируйте \TDSSKiller_Quarantine в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

И опишите, какие проблемы сейчас остались?

ничего не менял.
карантин прикрепил

все по прежнему

Из первого сообщения мне мало что понятно, так что опишите
[quote="regist;1137079"]какие проблемы сейчас остались?[/quote]
А про OneDriveTemp я вам уже написал [quote="regist;1134805"]OneDrive - это от SkyDrive - пользуетесь им?[/quote]

Сейчас каждые пять минут Защитник выдает:

Обнаруженный элемент: Backdoor:Win32/Sdbot

Произошла следующая ошибка: Код ошибки 0x80508023. Не удалось найти вредоносные и другие потенциально нежелательные программы на этом компьютере.


Категория: Лазейка


Описание: Эта программа является потенциально опасной.


Рекомендуемое действие: Разрешать выполнение следует только в том случае, если вы доверяете программе или издателю программного обеспечения.


Объекты:
file:C:\OneDriveTemp\S-1-5-21-4001166648-3135061734-1305208584-1000\F8E2662074ABF4D6!132-F8E2662074ABF4D6!12287-F8E2662074ABF4D6!12298-e986dbd2260e289b681ee312b4543703.temp


SkyDrive - пользуюсь

[quote="kvv_1980;1137101"]SkyDrive - пользуюсь[/quote]
тогда отошлите в аваст с пометкой ложное срабатывание. Ещё как вариант временно деинсталировать эту программу и убедиться, что после этого проблема исчезла.

Удалил OneDrive (насколько это возможно, т.к. в Win8.1 эта опция часть системы), по крайней мере из Установленных программ - деинсталлировал. Ничего не изменилось.

В карантине аваста можно выбрать действия над файлом, который в карантине. Одно из сообщить в вирлаб о ложном срабатывание (пишу по памяти).
+ Файл из карантина аваста
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

У меня нет Аваста, все алерты выдает Защитник Windows (Defender).

В любом случае файл на который ругается защитник пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы.

А также сами пошлите с пометкой ложное срабатывание.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]