Касперский ругается на файл %system%\sdra64.exe, но удалить его не может.
Все, что прочитал в интернете по поводу этого трояна, не помогает. Вручную не удаляется. Файлы из папки %system%\lowsec и саму эту папку удалял - не помогает. Никак не могу отловить процесс, который занимается восстановлением этих файлов и ключа UserInit в реестре. Самого sdra64.exe в процессах не смог найти.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Спасибо. Проблема решена.
Если Вы не будете против, из скрипта я удалил строку
Код:
DeleteFile('D:\autorun.inf');
Это моё, сам писал, - авторан на флэшке. В карантине он есть, посмотрите.
Файл сохранён как 090826_195331_virus_4a955a7b84b70.zip
Размер файла 343163
MD5 fee3e100681f75b30e7c1ed1e820e64a
Указанной строчки в HiJackThis не оказалось. Проверил - с ключом реестра все в порядке.
Повторяю логи.
Папку %system%\lowsec и находящиеся в ней файлы удалил. Они уже не были заблокированы.
Подскажите пожалуйста, в порядке повышения квалификации, каким образом можно обнаружить и прибить подобный процесс в системе?
каким образом можно обнаружить и прибить подобный процесс в системе?
Ну для этого нужны спец. утилиты, ибо даже при обнаружении подозрительных процессов все равно заниматься самолечением не рекомендуется. Прибьете процессы, а они возникнут снова. Поэтому при подозрении на заражение лучше обращаться сюда - время себе сэкономите, да и нервы тоже
Со статьей ознакомился, спасибо. Книгу скачал - почитаю, небольшая.
Насчет самолечения - согласен с точки зрения экономии времени и нервов. Однако иногда приходится сталкиваться с компами без интернета (Россея-мать, не Европа все-таки ), и тогда контактировать с вами становится трудновато.
Да и просто, честно говоря, "закусывает", когда не можешь прибить какой-то процесс в системе. Задевает профессиональную гордость, скажем так. Сидишь перед юзверем дуб-дубом, и говоришь, вот, мол, щас вона профессионалов спрошу, авось помогут. У юзверя законно возникает вопрос: а сам-то кто такой?
Вот и стараюсь заполнить пробелы в образовании.
Насчет "прибивания" процессов - я ведь не тупо taskmanager'ом его найти и прибить пытался. process explorer пробовал, regmon'ом смотрел, кто в реестре ключ правит (выходило, что winlogon.exe:1052, но под этим pid'ом там что-то много всего - лишнее прибить побоялся), siw'ом, той же AVZ, наконец, пытался поковырять. Другие утилиты надо?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: