Все время вылазиет...надоело( + при загрузки винды,вылетает сообщение userinit.exe не может быть ред,в реестре покопался,еще етот sdra64.exe сидит,удалить не получилось,удаляю ключ реестра,он по новой прописывает себя.
Все время вылазиет...надоело( + при загрузки винды,вылетает сообщение userinit.exe не может быть ред,в реестре покопался,еще етот sdra64.exe сидит,удалить не получилось,удаляю ключ реестра,он по новой прописывает себя.
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол (обязательно!).Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\wutemp\srvxc.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\parldr2k.sys',''); QuarantineFile('C:\WINDOWS\System32\r_server.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\wutemp\srvxc.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wininet'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wininet'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wininet'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин отправил. прилагаю новые логи.
C:\WINDOWS\System32\userinit.exe замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
userinit был заменен,дата создания была сегодня.
сейчас дата создания 15 апреля 2008 г., 16:00:00.
Замена прошла успешна.
Прверим
Пофиксите в HiJack
Новые логи сделайтеКод:O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\userinit.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новые логи
Похоже сработало.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RebootWindows(true); end.
Проверьтесь так http://support.kaspersky.ru/viruses/...?qid=208636926
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
проверил TDSSKiller ничего не нашел.
Если Радмин ставили сами, тогда лечение закончено
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
заработал даже удаленный доступ,спасибо вам большое
Значит радмин можно удалять,а вот насчет адоба,хорошо,поставим поновей.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22 ( DrWEB: Program.RemoteAdmin.167 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.agck ( DrWEB: Trojan.PWS.Panda.122, AVAST4: Win32:Zbot-MRO [Trj] )
- c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.diwk ( DrWEB: Win32.HLLW.Siggen.87, BitDefender: Gen:Heur.Krypt.19, AVAST4: Win32:Zbot-LYA [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) UnknownError, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.