Dziś podczas skanowania Kaspersky wykrył mi trojana “Trojan-Spy.Win32.Zbot.gen” w pliku “sdra64.exe”.
Link ze skanem z Jotti oraz Virus Total.
I teraz pytanie: czy usunąć ten plik, czy może lepiej wyleczyć?
Piszesz o pliku sdra64.exe , a na screenie jest widoczny sfc_os.dll…
To co widać na screenie jest fałszywym alarmem i należy dodać ten plik do wyjątków.
Natomiast sdra64.exe jest dosyć poważną infekcja i na to zastosuj Combofix.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
Co do “sfc_os.dll”: Przepraszam za screen. Został podany omyłkowo. Wczoraj na drugim dysku szukałem wirusów i go usunąłem. Okazało się, że jest potrzebny systemowi, więc przywróciłem oryginał z płytki instalacyjnej Windowsa.
Teraz przechodzimy do “sdra64.exe”: Zleciłem Kaspersky’emu kasację tego pliku i podobno to wykonał. Skan był przeprowadzany z odrębnego dysku, jednak i tak ten plik jakoś się nie chciał skasować. Niedawno sam jakimś cudem wykryłem rootkit’a w TEMPie. Co chwilę się sam odradzał, żadne skanery nic nie wykrywały, a i strony AV się nie chciały włączyć. Wrzuciłem go na skaner Jotti i wykrył trojana “Trojan-PSW.Win32.Kates”. W Googlach znalazłem takie coś: Kates Killer. I sam sobie poradziłem z problemem. W końcu wszystko ładnie działało…
Teraz po chwili zastanowienia postawiłem na odrębnym dysku nowy Windows i skanuję wszystkie dyski dla pewności i przez to takie coś mi wynalazło.
Log ComboFix: http://www.wklejto.pl/51858
W logu nic nie ma.
Wykonaj: Start -> Uruchom… -> Combofix /uninstall
Czyli jednak Kaspersky rozprawił się z nim?
Wygląda na to, że tak.
Otwórz edytor rejestru -> rozwiń gałąź HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Sprawdź czy klucz UserInit ma wartość C:\WINDOWS\system32\userinit.exe,
Jeśli będzie coś jeszcze to zmień tę wartość na taką jak napisałem, z przecinkiem na końcu.
Tak, jest dokładnie taka sama.
No to powinno być czysto.
W takim razie dziękuję bardzo za radę 