Настал новый день и начались новые трудности. На сегодняшний день меня интересовала одна проблема, из за которой я не мог работать на компьютере. А все виной был вирус который прикинулся процессом sdra64 . Что за процесс sdra64 и принялся изучать недруга.
Антивирус не смог его обнаружить, по этому все делалось руками и с помощью незаменимых утилит. Процесс sdra64 оказался трояном, который поселился по адресу c:\windows\system32\sdra64 .exe. Стандартный диспетчер задач он блокировал, по этому пришлось воспользоваться сторонним продуктом Process Explorer. Скачать Process Explorer с нашего дипозита или Скачать ProcessExplorer с стороннего сайта
Шаги устронения трояна sdra64.
1)В программе Process Explorer нажимаем комбинацию клавиш Ctrl+F и находим процесс sdra64 .exe.
2) Ищем его в Handlers, и правой кнопкой мыши закрываем процесс - Close Handler. На этом этапе происходит выгрузка его из памяти.
3) Далее с помощью утилиты ZbotKiller.exe (от Лаборатории Касперского) убиваем все процессы принадлежащие троянам. Вот их список:
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64 .exe
lowsec\\local.ds
lowsec\\user.ds
4) Далее идем по адрксу c:\windows\system32\ и удаляем без доли смущения файл sdra64 .exe. Сделайте видимыми скрытые и системные папки (Панель управления => Свойство папки => вид => "скрывать защищенные системные файлы" - убрать галочку с пункта и поставить галочку "показывать скрытые файлы и папки".) В этой же директории (c:\windows\system32\) находим папку lowsec и тоже удаляем её из системы.
5) Далее Пуск => Выполнить => пишем regedit и нажимаем Enter.
6)Ищем ветку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon
парметр userinit измените на следующее c:\windows\system32\userinit.exe все что после запятой удаляем.
7)Удаляем элемент sdra64 из авто загрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и все что содержит sdra64 удаляем на всегда.
Вот как я боролся с трояном sdra64. и я теперь знаю что за процесс sdra64.
интересный блог спасибо
ОтветитьУдалить