Компьютерные гуру, помогите, кто, чем сможет.
Завелась зверушка на машине. Вирь какой-то или троян. Похож на Tiniresu или Sdra64.
Касаперыч установлен, обновляется постоянно… не помогло, пропустил супостата.
Полная проверка на максимальных настройках результата не дала: Найденно 0.
Постоянно вылазит процесс, Касперыч ругается дюже.
14.11.2009 9:08:54 Защита вашего компьютера работает.
14.11.2009 9:24:01 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,).
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение userinit, данные C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) заблокирована.
14.11.2009 9:24:10 Процесс C:\Temp\15.tmp (PID: 4068): подозрительное действие. Попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe).
14.11.2009 9:24:14 Процесс C:\Temp\15.tmp (PID: 4068): попытка создания состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\S-1-5-21-220523388-2111687655-1202660629-1003\Software\Microsoft\Windows\CurrentVersion\Run, значение userinit, данные C:\WINDOWS\system32\sdra64.exe) заблокирована.
14.11.2009 9:24:20 Процесс C:\Temp\15.tmp (PID 4068) успешно завершен.
14.11.2009 9:24:22 Откат успешно выполнен.
ZBotKiller_v2 с сайта каспера ничего не нашел.
Вот такие пироги… из папки C:\Temp я файлы завирусованные вручную удалял, не помогает, они появляются снова только имена меняются:15.tmp, 3.tmp, 5.tmp… и т.д.
Файл: C:\WINDOWS\system32\userinit.exe = 26624 байт, должен быть не более 25600. Похоже он завирусован. Я его удалил и подменил таким же (он, вроде, стандартный) с другого компьютера. Файл: C:\WINDOWS\system32\sdra64.exe Я найти не могу, в папке system32 его нет. В процессах sdra64 тоже не видно (ProcessExplorer). Стоит подключится к инету и начинается…
ОС: ХР про 3 сервиспак. Блин… жо..ой чую, придется искать специалиста.
Предложения а-ля грохни винду не принимаются, этот способ я и сам знаю.
