-
Junior Member
- Вес репутации
- 54
sdra64.exe, может что-то еще
Приветствую всех!
Пришел на работу, у одного из сотрудников сломался личный ноутбук, попросил помочь.
Windows Vista Home Basic SP1:
при обычной загрузке:
долго грузится, потом мелькает BSOD
при попытке загрузится через F8 - Безосапный режим:
начинает загружаться, зависает на каком-то драйвере
Загрузился с Ubuntu, поднял под вайном Cure It!, стал сканировать. 30 минут - никаких результатов. Проверил winlogon ветку в реестре при помощи chntpw. Вроде чисто.
Загружаюсь в висту при помощи F10 - /safeboot:minimal
У клавиатуры не меняется раскладка
Открываю msconfig, смотрю автозагрузку - sdra64.exe. CureIt'ом проверяю содержащую их папку, он удаляет его и еще один, название, к сожалению, не запомнил.
Загрузится потом в обычный режим не удалось. Загружаюсь в F10 - /safeboot:network
Сейчас загружаю антивирус (хотя установить видимо не смогу) и проверяюсь CureIt'ом
Какие-нибудь дальнейшие указания без логов могут быть? Если загрузится в обычный режим не получится, логи сделать в безопасном режиме?
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Second_Fry
Если загрузится в обычный режим не получится, логи сделать в безопасном режиме?
Да.
-
-
В Ключе userinit, где userinit, оттуда надо sdra64.exe убрать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Я же говорю проверял Winlogon ветку, userinit параметр был чист.
Еще раз проверил сейчас. Тоже чист.
Вообще sdra64.exe лежал в C:\Users\1\AppData\Roaming, а не в C:\Windows\System32
Последний раз редактировалось Second_Fry; 18.03.2010 в 19:38.
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Сделайте логи, а там видно будет где этот sdra64.exe находится.
-
-
Junior Member
- Вес репутации
- 54
Here it is
Кстати, при сканировании я заметил рекурсию, сканер шлялся по ярлыкам. C:\Users\1\Application Data\Application Data\Application Data\Application Data\...
Это нормально?
Последний раз редактировалось Second_Fry; 18.03.2010 в 19:39.
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WindowsSystem32\IoLogMsg.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM
-
-
Сообщение от
Second_Fry
Кстати, при сканировании я заметил рекурсию, сканер шлялся по ярлыкам. C:\Users\1\Application Data\Application Data\Application Data\Application Data\...
Это нормально?
Да, есть недоработки
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
SearchRootkit(true, true); - ошибка драйвера
SetAVZGuardStatus(True); - ошибка драйвера
Соответственно нету карантина. Могу попробовать руками упаковать и отослать.
Лог MBAM'а
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Заражено папок:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 54
Один раз удалось загрузится в нормальный режим. Я удалил ESET, он попросил перезагрузку, больше загрузится не получилось.
Начал загружаться с "Отключить автоматическую перезагрузку при отказе системы" и собственно вижу BSOD.
UNMOUNTABLE_BOOT_VOLUME
*** STOP: 0x000000ED (0x85AF5848,0xC000003A,0x0,0x0)
В безопасный режим загружается нормально.
chkdsk /r
Оставил на следующую перезагрузку. MBAM исправил нормально, сейчас сканирую еще раз.
Лог исправления:
Последний раз редактировалось Second_Fry; 19.03.2010 в 11:55.
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Junior Member
- Вес репутации
- 54
Ничего нового не нашлось:
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
-
-
Junior Member
- Вес репутации
- 54
Если получится загрузить в обычном режиме, выполнить действия из #7?
UPD: Наверное, стоит попробовать выполнить sfc /SCANNOW, так как chkdsk /r, кажется, не помог
Последний раз редактировалось Second_Fry; 19.03.2010 в 14:17.
Причина: Возможная причина невозможности загрузки в обычный режим.
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Сообщение от
Second_Fry
стоит попробовать выполнить sfc /SCANNOW
Пробуйте.
Сообщение от
Second_Fry
Если получится загрузить в обычном режиме, выполнить действия из #7?
Да
-
-
Сообщение от
Second_Fry
UPD: Наверное, стоит попробовать выполнить sfc /SCANNOW, так как chkdsk /r, кажется, не помог
ОТ: Я пришел на работу, включил компьютер и он не загрузился. С ним пробился день, на утро восстановил диск с Акроникс и был счастлив. Потерял только почту за последний день.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Я загрузился в обычном режиме.
Карантин вновь пустой.
Новые логи.
UPD: Avast не запускается. Периодически вылазят сообщения о "ошибке" диска, хотя chkdsk проходит чистым.
UPD2: OT: да, такое решение было бы самым лучшим...
Последний раз редактировалось Second_Fry; 20.03.2010 в 13:32.
Причина: Новая информация
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Выполнить:
Код:
begin
QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
end.
если попадет что-то в карантин, то прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Код:
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\drivers\blbdrive.sys)
Карантин с использованием прямого чтения - ошибка
Та же ошибка и в предыдущем случае (из #7)
Код:
Ошибка карантина файла, попытка прямого чтения (C:\WindowsSystem32\IoLogMsg.dll)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось Second_Fry; 20.03.2010 в 17:07.
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)
-
Junior Member
- Вес репутации
- 54
Творится что-то странное. Перестали открываться панель управления и свойства о системе.
Плюс вылазит всплывающее уведомление, противоречащее само себе (explorer.exe - C:\Program Files\Mail.ru)
Короче, загружусь с лайв системы и отправлю эти два запрошенных файла в архиве
Gentoo (Xfce4), Ubuntu 10.04 (Alpha 3)