Поймали тут одни знакомые забавную "зверушку" троян sdra64.exe - по классификации DrWeb Trojan.PWS.Panda.114
А началось все с того, что приволокли ноут с призабавной картиной - Windows грузится, а рабочий стол пустой. В ходе рабирательст было прибито куча троянов, но самым "забавным" оказался sdra64.exe. Он ни в какую ни хотел "убиваться". Файл c:\windows\system32\sdra64.exe был заблокирован системой даже в безопасном режиме, а с ERD ноут грузится наотрез отказался. Вобщем просто как его грохнуть не получилось.
Как удалить:
1. Если еще нету Process Explorer от Microsoft/Sysinternals идем и скачиваем.
2. Запускаем Process Explorer жмем Ctrl-F и ищем sdra64.exe
3. Находим его в Handlers, далее правой кнопкой мыши - Close Handler. Все из памяти мы его выгрузили.
4. Теперь можно идти в c:\windows\system32\ и грохать файл sdra64.exe. Коме того сразу же грохаем папку lowsec в которой троян хранил данные, она кстати скрытая и системная. Если лезем стандартными средствами Windows не забываем поставить соответствующие галочки в свойствах папок.
5. запускаем Regedit и чистим от следов трояна. В ветка HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon парметр userinit должен содержать только строку c:\windows\system32\userinit.exe все что после запятой удаляем.
UP:
В комментариях подсказали утилитку от Касперского которая помогает справится с этой заразой в автоматическом режиме http://support.kaspersky.ru/faq/?qid=208636281
Страница для печати
Комментарии
36 комментариевСделал, как советовали. НО! Из памяти он выгрузился, а вот удаляться так и не захотел!!!
Спасибо за ссылку на утилиту Касперского. Удалил и его и еще пару!
Спасибо от украинских чайников. Помогло!
Всём Здравствуйте,у меня тоже есть программа "Unlocker",удалил ею sdra64.exe и папку c:\windows\system32\lowsec, перезагружаю комп,а он загружается до приветствия и появляется окно которое появляется когда выходишь из спящего режима(в низу кнопка выключения,а в середине квадратик с именем ПО) при нажатие на квадрат сново выдаёт это окно! Так и в безопасном режиме. Откат прошлой удачной конфигурации.тоже делу не помог. Подскажите как войти в комп,не снося систему,у меня много фоток и ценной информации,что бы это потерять?
Вы тут све специалисты, объясните для чайника, как убрать этот баннер, требующий денег, висит зараза!!!
Загружаемся с диска (LiveCD) заходим в system32 и удаляем все скрытые файлы с однаковым размером 311-312 Кб. Перезагрузится в безопасном режиме, запустить ProcessExplorer нажать Ctr+F и набрать sdra64, выбрать файл, правой мышкой выгрузить с памяти.Пуск-выполнить-regedit и поиске набрать sdrs64.exe и удалить строку с этим именем. С приветом автор этого ВиРуСа.
Андрей, прошу Вашей помощи. Из-за этого трояна у меня исчез ключ к вебмани. Есть ли возможность его восстановить и как? Жду ответа.
Если возможно, то на почту yuliak86@bk.ru
Кроме всего прочего в system32 находятся скрытые dll-ки одинакового размера 133664байт (но возможен и другой размер). Их тоже надо подчистить. И в папке doccs and sett/"ваш user"/local settings/temp также.
Была такая проблема:
При подключении к удаленному рабочему столу , терминал удаленного рабочего стола закрывается и выскакивает окно с общей ошибкой...
Почитавши данную статью и переширстив еще несколько форумов наткнулся на утилитку от касперыча ZBotKiller.exe
Этот троян я удалил с помощью программы "Unlocker". Она разблакирует и сама удаляет любые заблакированные системные и несистемные файлы, даже поврежденные и т.п. Она ни раз меня выручала, и вам поможет.
На днях столкнулся с этой заразой, в реестре всё почистил, файлы удалил, но при запуске любого .ехе открывается порно банер и наглухо висит, диспетчер задач не открывается, откат к последней точке не работает и при запуске AVZ уходит в ребут. Бился несколько часов в итоге перустановил винду. Может кто сталкивался с подобным?
Вот сегодня столкнулся с такими же симптомами. Кьюред не видит даже когда 1 раз умудрился запуститься в безопасном режиме. при запуске AVZ в том числе полиморфного комп сразу автоматически выключается. у меня не порнобаннер, а рекламный но все же занимает практически весь экран - остается только по 1 сантиметру с каждой стороны. Сбросил с другого компа по сети переименованный на манеру AVZ HijackThis(переимновал в 2.pif). запустилось. просмотрел все строки и обнаружил в том числе странный драйвер в систем32 без доплнительных описаний. после каждого фикса появлялся с другим названием. после 3-4 фиксов подряд больше не появлялся. программы стали запускаться. антивирусы больше ничего не нашли. но в том же HijackThis как-то настораживал sdra64.exe приписанный к userinit.exe. погуглив попал на эту страницу. удалил согласно инструкциям. Большое спасибо за них. так как вирус ворует пароли придется теперь все менять.
Подскажите пожалуйста)))))Я через инет поймала 2 трояна....когда сканировала Касперским комп, удалил их, но при новом сканировании Касперский опять их находит... и все по той же программе...подскажите как его удалить вообще))))
Я думаю, для начала надо просканировать в безопасном режиме или что еще лучше загрузившись с другого диска.
Вот спасибо!
Спасибо большое, действительно получилось удалить, а то все остальные советуют винду переустанавливать при этом вирусе.
Спасиб
спасибо большое,огромное спасибо)) когда удалила вирус - комп весь вырубился и перезагрузился...работает теперь нормально,всё удалилось,ура)))
http://support.kaspersky.ru/faq/?qid=208636281
утилитка удаляет его в автоматическом режиме из памяти с диска и реестра
С таким же успехом данный файлик сносится программой ComboFix (каждый день есть на сайте обновленный файл самого ComboFix-а)
Рекомендую прошерстить весь реестр на предмет наличия "sdra". В ветке HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Run найден параметр "userinit" со значением "C:\Users\Margo\AppData\Roaming\sdra64.exe". Снесен к такой-то матери... Ось - Vista 64 Home Premium.
при обычной загрузке файл sdra64.exe не виден, и в процессах его нет тоже, при загрузке safe mode файл виден но не удаляется и реестр править не дает, точнее сразу же себя обратно прописывает. Я лечил путем подключения винта к другому компу и удалением файла c:\windows\system32\sdra64.exe и папки c:\windows\system32\lowsec, Кстати касперский на 17 сентября 2009 года его не видит =(.
спасибо огромное! особенно Андрею и пользователю $eva.
Только что занимался вопросом удаления этого трояна.
А началось все с того, что не мог зайти в Webmoney
Оказывается есть готовое решение
http://support.kaspersky.ru/faq/?qid=208636281
точно, после запуска от касперыча таблетки - все в норме стало.
Спасибо автору!
файл удалила far а папки пришлось тоталкоммандером
Перепробавала все, но sdra64 не отображается никак. Соответственно и удалить тоже -никак ((((
А если посмотреть путь в строке Userinit? Там то должен быть указан полный путь к файлу.
Если нет, то я уже даже не знаю, что посоветовать.
Если sdra64.exe не видать в винде берем FAR, там его тоже невидно, запускаем редактировать фаил, указываем sdra64.exe при етом находясь в каталоге c:\windows\system32\, запускаем, там открывается всякая белеберда удаляем првые буквы можно все, закрываем, и сохраняемся. Потом он уже виден из подвенды, и его можно удалить!
Если не видет папку lowsec, то в FAR прописываем c:\windows\system32\lowsec, она откроется, удаляем там 2 фаила local.ds и user.ds.
Прежде чем все это удалять проделываем все выше написанное Андреем, не забудте про реестр.
Добрый день! Я тоже поймала троянца Panda на настольном компе (пишу с ноута). В моем случае перестал открываться IE8. Система на компе XP SP3 с автоматическим обновлением.У меня стоит DrWEb, который всякий раз нахоит процесс в памяти и сообщает, что обезвредил его. По Вашему алгоритму (весьма впечатлило качество и доступность изложения!) пыталась удалить.
Так вот, в обычном режиме Process Explorer находить и выгружает из памяти sdra64.exe. Но в папке System32 его не видно, как я не меняла свойства папки, хотя другие скрытые файлы видны. И редактирование реестра без удаления файла на помогает. А в безопасном режиме Process Explorer не дает остановить процесс, пишет ошибку - неверный дескрипт после того, как я подтверждаю желание закрыть процесс. Теперь зато файл виден в папке, но не удаляется. Очень надеюсь на Ваш совет.
Gmer.exe вам поможет все скрытые файла найти и обезвредить.
Спасибо за наводку... надо удет попробовать его эффективность.
Нашел где "живет" этот "антируткит" - http://www.gmer.net/
- Я могу заблуждаться, но мне кажется что при обычной попытке удалить файла нет по причине того, что его блокирует перед этим DrWeb. Как вариант - попробовать временно отключить мониторинг DrWeb и проделать все операции.
- В безопасном режиме можно попробовать не удалять, а переименовать файл (например дать ему любое расширение кроме .exe)
Добрый день! Позавчера удаляла все в соответствии с рекомендациями. Все бы ничего, но файл sdra.exe не нашла нигде. Папку удалила, реестр почистила, вчера гружу комп и снова глючит Explorer. Запустила DRW, снова процесс в памяти! Повторила все действия, но опять не обнаружился файл sdra и теперь уже и папку не найти. Короче придется сносить все видимо.
Я тоже нашел sdra64.exe с Process Explorer, однако в папке System32 найти его не удалось, не нашлась там же и папка lowsec.
Решить всю проблему (в том числе и с реестром) программка ZbotKiller.exe (адрес с описанием её и трояна: http://support.kaspersky.ru/faq/?qid=208636281; ссылка на скач: http://support.kaspersky.ru/downloads/utils/zbotkiller.zip).
Она распаковывается и запускается - в результате нашла и sdra64.exe и ещё три гадости, также вычистила их и из реестра, а папка lowsec обнаружилась. Её лучше с концами убрать TuneUp Utilities, или Glary Utilities, или Delete Doctor - они не помещают файлы, папки в корзину, а окончательно их стирают.
У меня были еще и заблокированы файлы local.ds и user.ds из папки lowsec. Их надо таким же образом, как и с sdra64.exe закрыть в процессах. Потом только удалить папку.
Да, действительно, так оно и было. Спасибо за замечание.