вирус sdata.dll

[Максим Павельев]

стал часто вылетать office, посмотрел журнал событий, все ведет к файлу sdata.dll, почитал про него в инете, оказалось вирус, помогите пожалуйста

CollectionLog-2016.11.16-17.07.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe');
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\all users\application data\microsoft\adobe\flash player\dc2d2b9a-4d23-4c40-a17f-3678f7530e98', '*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', '');
 QuarantineFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '');
 DeleteFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', '32');
 DeleteFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Загрузите GMER по одной из указанных ссылок:

  Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве.

[Максим Павельев]

KLAN-5350652235


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe,
extsetup.exe,
extsetup.log,
le,
extsetup_0.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

eula.txt

No malicious code was found in this file.

sdata.dll - Worm.Win32.Agent.syj

At the moment this file is detected with the latest antivirus bases.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

log.log

[Sandor]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 63k7gmkg.exe случайное имя утилиты (gmer)

63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cubjkao"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cubjkao"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cubjkao"
63k7gmkg.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

 

Проверьте систему утилитой - http://support.kaspersky.ru/1956

Сделайте новый лог gmer.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ

также, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

После того, как отправите карантин (!):

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\1982 Rock Away Your Teardrops.exe','');
 QuarantineFile('C:\Documents and Settings\Канаева\Application Data\Mozilla\Firefox\Profiles\1jq9uvbi.default\extensions\sbext@slext.dev', '');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\srtserv\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ тоже, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 17 ноября, 2016 пользователем Sandor