вирус sdata.dll

16 ноября, 2016

стал часто вылетать office, посмотрел журнал событий, все ведет к файлу sdata.dll, почитал про него в инете, оказалось вирус, помогите пожалуйста

CollectionLog-2016.11.16-17.07.zip

16 ноября, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe');
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\all users\application data\microsoft\adobe\flash player\dc2d2b9a-4d23-4c40-a17f-3678f7530e98', '*', true, '', 0 ,0);
 QuarantineFileF('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', '');
 QuarantineFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '');
 DeleteFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', '32');
 DeleteFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteFileMask('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Временно отключите драйверы эмуляторов дисков.
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве.

17 ноября, 2016

KLAN-5350652235

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe,
extsetup.exe,
extsetup.log,
le,
extsetup_0.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

eula.txt

No malicious code was found in this file.

sdata.dll - Worm.Win32.Agent.syj

At the moment this file is detected with the latest antivirus bases.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

log.log

17 ноября, 2016

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 63k7gmkg.exe случайное имя утилиты (gmer)

63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cubjkao"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cubjkao"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yiegd"
63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cubjkao"
63k7gmkg.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Проверьте систему утилитой - http://support.kaspersky.ru/1956

Сделайте новый лог gmer.

Файл quarantine.zip из папки с распакованной утилитой AVZ

также, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

После того, как отправите карантин (!):

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\1982 Rock Away Your Teardrops.exe','');
 QuarantineFile('C:\Documents and Settings\Канаева\Application Data\Mozilla\Firefox\Profiles\1jq9uvbi.default\extensions\sbext@slext.dev', '');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\srtserv\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ тоже, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 17 ноября, 2016 пользователем Sandor

вирус sdata.dll

Рекомендуемые сообщения

Максим Павельев

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Павельев

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum