Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

sdra64.exe, может что-то еще (заявка № 73924)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31

    Thumbs up sdra64.exe, может что-то еще

    Приветствую всех!
    Пришел на работу, у одного из сотрудников сломался личный ноутбук, попросил помочь.

    Windows Vista Home Basic SP1:
    при обычной загрузке:
    долго грузится, потом мелькает BSOD
    при попытке загрузится через F8 - Безосапный режим:
    начинает загружаться, зависает на каком-то драйвере

    Загрузился с Ubuntu, поднял под вайном Cure It!, стал сканировать. 30 минут - никаких результатов. Проверил winlogon ветку в реестре при помощи chntpw. Вроде чисто.

    Загружаюсь в висту при помощи F10 - /safeboot:minimal
    У клавиатуры не меняется раскладка
    Открываю msconfig, смотрю автозагрузку - sdra64.exe. CureIt'ом проверяю содержащую их папку, он удаляет его и еще один, название, к сожалению, не запомнил.

    Загрузится потом в обычный режим не удалось. Загружаюсь в F10 - /safeboot:network

    Сейчас загружаю антивирус (хотя установить видимо не смогу) и проверяюсь CureIt'ом

    Какие-нибудь дальнейшие указания без логов могут быть? Если загрузится в обычный режим не получится, логи сделать в безопасном режиме?
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Second_Fry Посмотреть сообщение
    Если загрузится в обычный режим не получится, логи сделать в безопасном режиме?
    Да.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В Ключе userinit, где userinit, оттуда надо sdra64.exe убрать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Я же говорю проверял Winlogon ветку, userinit параметр был чист.
    Еще раз проверил сейчас. Тоже чист.
    Вообще sdra64.exe лежал в C:\Users\1\AppData\Roaming, а не в C:\Windows\System32
    Последний раз редактировалось Second_Fry; 18.03.2010 в 19:38.
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Сделайте логи, а там видно будет где этот sdra64.exe находится.

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Here it is

    Кстати, при сканировании я заметил рекурсию, сканер шлялся по ярлыкам. C:\Users\1\Application Data\Application Data\Application Data\Application Data\...
    Это нормально?
    Последний раз редактировалось Second_Fry; 18.03.2010 в 19:39.
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WindowsSystem32\IoLogMsg.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте лог MBAM

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Second_Fry Посмотреть сообщение
    Кстати, при сканировании я заметил рекурсию, сканер шлялся по ярлыкам. C:\Users\1\Application Data\Application Data\Application Data\Application Data\...
    Это нормально?
    Да, есть недоработки
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    SearchRootkit(true, true); - ошибка драйвера
    SetAVZGuardStatus(True); - ошибка драйвера
    Соответственно нету карантина. Могу попробовать руками упаковать и отослать.

    Лог MBAM'а
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    Заражено папок:
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
    Сделайте лог MBAM

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Один раз удалось загрузится в нормальный режим. Я удалил ESET, он попросил перезагрузку, больше загрузится не получилось.

    Начал загружаться с "Отключить автоматическую перезагрузку при отказе системы" и собственно вижу BSOD.
    UNMOUNTABLE_BOOT_VOLUME
    *** STOP: 0x000000ED (0x85AF5848,0xC000003A,0x0,0x0)

    В безопасный режим загружается нормально.
    chkdsk /r
    Оставил на следующую перезагрузку. MBAM исправил нормально, сейчас сканирую еще раз.

    Лог исправления:
    Последний раз редактировалось Second_Fry; 19.03.2010 в 11:55.
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Ничего нового не нашлось:
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Если получится загрузить в обычном режиме, выполнить действия из #7?

    UPD: Наверное, стоит попробовать выполнить sfc /SCANNOW, так как chkdsk /r, кажется, не помог
    Последний раз редактировалось Second_Fry; 19.03.2010 в 14:17. Причина: Возможная причина невозможности загрузки в обычный режим.
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Second_Fry Посмотреть сообщение
    стоит попробовать выполнить sfc /SCANNOW
    Пробуйте.

    Цитата Сообщение от Second_Fry Посмотреть сообщение
    Если получится загрузить в обычном режиме, выполнить действия из #7?
    Да

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Second_Fry Посмотреть сообщение
    UPD: Наверное, стоит попробовать выполнить sfc /SCANNOW, так как chkdsk /r, кажется, не помог
    ОТ: Я пришел на работу, включил компьютер и он не загрузился. С ним пробился день, на утро восстановил диск с Акроникс и был счастлив. Потерял только почту за последний день.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Я загрузился в обычном режиме.
    Карантин вновь пустой.
    Новые логи.

    UPD: Avast не запускается. Периодически вылазят сообщения о "ошибке" диска, хотя chkdsk проходит чистым.
    UPD2: OT: да, такое решение было бы самым лучшим...
    Последний раз редактировалось Second_Fry; 20.03.2010 в 13:32. Причина: Новая информация
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
     QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
    end.
    если попадет что-то в карантин, то прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\drivers\blbdrive.sys)
     Карантин с использованием прямого чтения - ошибка
    Та же ошибка и в предыдущем случае (из #7)
    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\WindowsSystem32\IoLogMsg.dll)
     Карантин с использованием прямого чтения - ошибка
    Последний раз редактировалось Second_Fry; 20.03.2010 в 17:07.
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2009
    Адрес
    Москва
    Сообщений
    27
    Вес репутации
    31
    Творится что-то странное. Перестали открываться панель управления и свойства о системе.

    Плюс вылазит всплывающее уведомление, противоречащее само себе (explorer.exe - C:\Program Files\Mail.ru)

    Короче, загружусь с лайв системы и отправлю эти два запрошенных файла в архиве
    Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)

  • Уважаемый(ая) Second_Fry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. sdra64.exe
      От vlad_1976 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.02.2010, 15:56
    2. SDRA64
      От VK_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.01.2010, 18:13
    3. sdra64.exe
      От ims в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.12.2009, 15:35
    4. sdra64.exe
      От meat93 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.11.2009, 00:30
    5. Троян sdra64.exe
      От KINo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.08.2009, 00:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00850 seconds with 16 queries