sdra64.exe - как удалить троян
Поймали тут одни знакомые забавную "зверушку" троян sdra64.exe - по классификации DrWeb Trojan.PWS.Panda.114
А началось все с того, что приволокли ноут с призабавной картиной - Windows грузится, а рабочий стол пустой. В ходе рабирательст было прибито куча троянов, но самым "забавным" оказался sdra64.exe. Он ни в какую ни хотел "убиваться". Файл c:\windows\system32\sdra64.exe был заблокирован системой даже в безопасном режиме, а с ERD ноут грузится наотрез отказался. Вобщем просто как его грохнуть не получилось.
Как удалить:
1. Если еще нету Process Explorer от Microsoft/Sysinternals идем и скачиваем.
2. Запускаем Process Explorer жмем Ctrl-F и ищем sdra64.exe
3. Находим его в Handlers, далее правой кнопкой мыши - Close Handler. Все из памяти мы его выгрузили.
4. Теперь можно идти в c:\windows\system32\ и грохать файл sdra64.exe. Коме того сразу же грохаем папку lowsec в которой троян хранил данные, она кстати скрытая и системная. Если лезем стандартными средствами Windows не забываем поставить соответствующие галочки в свойствах папок.
5. запускаем Regedit и чистим от следов трояна. В ветка HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon парметр userinit должен содержать только строку c:\windows\system32\userinit.exe все что после запятой удаляем.
6. Перегружаемся и стараемся больше не ловить всякую заразу 
UP:
В комментариях подсказали утилитку от Касперского которая помогает справится с этой заразой в автоматическом режиме http://support.kaspersky.ru/faq/?qid=208636281
Комментарии
54 комментариевСПАСИБО БОЛЬШОЕ ))НАКОНЕЦ ТО УДАЛИЛ ЭТОТ ТУПОЙ ФАЙЛ))))
Сегодня у клиента на машине АВЗ нашел скрытые процессы.Посмотрел ВИНЛОГОН , да запускается красавец sdra64.exe. Свежий КУРЕИТ и Касперский не справились. Процесс Експлорер от Микрохвоста тоже не видит. Запуск спецутилитки от Каспеского блокирует нагло - - видно свежая модификация. Запустился через суперадмина - утилитка отработала. После ее КУРЕИТ нашел 5 штук зловредов.
Пока чисто ...
Уж не знаю от кель он просочился, но найдя и удалив его потерял подключение к инету... где что посмотреть, подскажите, всё описанное здесь повторил после самостоятельного лечения
Поставил КАВ 2011 он со всем и справился
Спасибо большое за информацию, сделал всё как здесь написано и помогло. Только запись в реестре HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon не стирается, вернее я стираю её но она тут же возвращается обратно. Может что подскажите? Желательно попроще, ибо метод которым пользовался человек ниже я не осилю :)
Думаю самые простые способы восстановить оригинальные версии системных файлов (не прибегая к консоли восстановления) - это скопировать их с чистого компа, на котором стоит таже система с тем же сервиспаком! Это можно сделать либо подключив свой винт с системой к чистому компу, или загрузиться с любого liveCD или загрузочного диска на котором есть файловый менеджер и перезаписать системные файлы. В моем случае это были services.exe, winlogon.exe. До кучи, можно еще и Explorer.exe и svchost.exe - на всякий случай не помешает!
Сегодня столкнулся с тем, что sdra64.exe не сидит в памяти как отдельный процесс, а (скорее всего при загрузке системы) патчит файлы winlogon.exe или services.exe. Так что после очистки ветки: HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon парметр userinit она моментально восстанавливается обратно. ProcessMonitor' ом удалось отследить что это делает winlogon.exe (в другом случае это был services.exe). В результате пришлось загрузить с liveCD ERDCommander, поправить реестр, и восстановить с помощью консоли восстановления оригинальные версии файлов. Может кому пригодиться!
сегодня столкнулся с данной проблемой удалить получилось только через AVZ с помошью отложенного удаления файла после перезагрузки, а потом уже папочку lowsec грохнул и все заработало на ура))
Тоже сегодня принесли комп с глюками интернет эксплорера,закрывается любое https с ошибкой.
Онлайн скан на http://cainternetsecurity.net/entscanner/
выявил пачку:
twex.exe
twext.exe
sdra64.exe
\lowsec\user.dc
\lowsec\local.dc
\twain_32\local.ds
\twain_32\user.ds
Лечил просто - Загрузился с диска XP,выбрал repair,после просто переименовал все эти файлы и после стёр.Всё заняло мало времени
На моем ПК была парочка sdra64.exe + Packed.Win32.Krap.w + Rootkit.Win32.Agent.aioy.
Помогли CureIT + Kaspersky Virus Removal Tool
стоит удалить также папку ..Windows\temp\riui.tmp\ с файликом svchost.dll внутри
после некоторого шаманства, AVZ выдал большую вероятность у sdra64.exe и mssfc.dll
после показаного тут лечения винда отказалась логинится. оказалось вирус удалил userinit.exe
помог перенос с другого компьютера
Все началось с того что посыпались ошибки 0xc000*****, на вирусы и не думал, стоит каспер с новыми базами, выявил битую оперативку, заодно вычистил все темпы
после этого комп загрузился, а рабочий стол нет ) запускался тока с командной строки, sfc запускался и сразу исчезал, мучался-мучался, проверил AVZ
выдал высокую вероятность на вирус у sdra64.exe и mssfc.dll
HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Winlogon в парметре userinit был как раз sdra64.exe
а userinit.exe отсутствовал
после исправления и перезапуска винда отказалась логиниться
загрузился с ERD, оказалось вирус удалил userinit.exe, помог перенос с работающего компьютера
Сегодня познакомился с этим зверем. Навредить он просто не успел. Все решилось просто:
Вначале WinPatrol выставил окошко о попытке залезть в автозапуск overlapp32.dll, далее Ace Utilities показали в автозагрузке sdra64.exe (все это в c:\windows\system32\)
Остальное дело техники. С помощью UnlockerAssistant убиваются оба файла и после перезагрузки удаляется строка об их автозапуске
Сделал, как советовали. НО! Из памяти он выгрузился, а вот удаляться так и не захотел!!!
Спасибо за ссылку на утилиту Касперского. Удалил и его и еще пару!
Спасибо от украинских чайников. Помогло!
Всём Здравствуйте,у меня тоже есть программа "Unlocker",удалил ею sdra64.exe и папку c:\windows\system32\lowsec, перезагружаю комп,а он загружается до приветствия и появляется окно которое появляется когда выходишь из спящего режима(в низу кнопка выключения,а в середине квадратик с именем ПО) при нажатие на квадрат сново выдаёт это окно! Так и в безопасном режиме. Откат прошлой удачной конфигурации.тоже делу не помог. Подскажите как войти в комп,не снося систему,у меня много фоток и ценной информации,что бы это потерять?
Вы тут све специалисты, объясните для чайника, как убрать этот баннер, требующий денег, висит зараза!!!
Загружаемся с диска (LiveCD) заходим в system32 и удаляем все скрытые файлы с однаковым размером 311-312 Кб. Перезагрузится в безопасном режиме, запустить ProcessExplorer нажать Ctr+F и набрать sdra64, выбрать файл, правой мышкой выгрузить с памяти.Пуск-выполнить-regedit и поиске набрать sdrs64.exe и удалить строку с этим именем. С приветом автор этого ВиРуСа.
Андрей, прошу Вашей помощи. Из-за этого трояна у меня исчез ключ к вебмани. Есть ли возможность его восстановить и как? Жду ответа.
Если возможно, то на почту [email protected]
Кроме всего прочего в system32 находятся скрытые dll-ки одинакового размера 133664байт (но возможен и другой размер). Их тоже надо подчистить. И в папке doccs and sett/"ваш user"/local settings/temp также.
Была такая проблема:
При подключении к удаленному рабочему столу , терминал удаленного рабочего стола закрывается и выскакивает окно с общей ошибкой...
Почитавши данную статью и переширстив еще несколько форумов наткнулся на утилитку от касперыча ZBotKiller.exe
Этот троян я удалил с помощью программы "Unlocker". Она разблакирует и сама удаляет любые заблакированные системные и несистемные файлы, даже поврежденные и т.п. Она ни раз меня выручала, и вам поможет.
На днях столкнулся с этой заразой, в реестре всё почистил, файлы удалил, но при запуске любого .ехе открывается порно банер и наглухо висит, диспетчер задач не открывается, откат к последней точке не работает и при запуске AVZ уходит в ребут. Бился несколько часов в итоге перустановил винду. Может кто сталкивался с подобным?
Вот сегодня столкнулся с такими же симптомами. Кьюред не видит даже когда 1 раз умудрился запуститься в безопасном режиме. при запуске AVZ в том числе полиморфного комп сразу автоматически выключается. у меня не порнобаннер, а рекламный но все же занимает практически весь экран - остается только по 1 сантиметру с каждой стороны. Сбросил с другого компа по сети переименованный на манеру AVZ HijackThis(переимновал в 2.pif). запустилось. просмотрел все строки и обнаружил в том числе странный драйвер в систем32 без доплнительных описаний. после каждого фикса появлялся с другим названием. после 3-4 фиксов подряд больше не появлялся. программы стали запускаться. антивирусы больше ничего не нашли. но в том же HijackThis как-то настораживал sdra64.exe приписанный к userinit.exe. погуглив попал на эту страницу. удалил согласно инструкциям. Большое спасибо за них. так как вирус ворует пароли придется теперь все менять.
Подскажите пожалуйста)))))Я через инет поймала 2 трояна....когда сканировала Касперским комп, удалил их, но при новом сканировании Касперский опять их находит... и все по той же программе...подскажите как его удалить вообще))))
Я думаю, для начала надо просканировать в безопасном режиме или что еще лучше загрузившись с другого диска.
Вот спасибо!
Спасибо большое, действительно получилось удалить, а то все остальные советуют винду переустанавливать при этом вирусе.
Спасиб
спасибо большое,огромное спасибо)) когда удалила вирус - комп весь вырубился и перезагрузился...работает теперь нормально,всё удалилось,ура)))
http://support.kaspersky.ru/faq/?qid=208636281
утилитка удаляет его в автоматическом режиме из памяти с диска и реестра
С таким же успехом данный файлик сносится программой ComboFix (каждый день есть на сайте обновленный файл самого ComboFix-а)
Рекомендую прошерстить весь реестр на предмет наличия "sdra". В ветке HKLM/SOFTWARE/Microsoft/WindoswNT/CurrentVersion/Run найден параметр "userinit" со значением "C:\Users\Margo\AppData\Roaming\sdra64.exe". Снесен к такой-то матери... Ось - Vista 64 Home Premium.
при обычной загрузке файл sdra64.exe не виден, и в процессах его нет тоже, при загрузке safe mode файл виден но не удаляется и реестр править не дает, точнее сразу же себя обратно прописывает. Я лечил путем подключения винта к другому компу и удалением файла c:\windows\system32\sdra64.exe и папки c:\windows\system32\lowsec, Кстати касперский на 17 сентября 2009 года его не видит =(.
спасибо огромное! особенно Андрею и пользователю $eva.
Только что занимался вопросом удаления этого трояна.
А началось все с того, что не мог зайти в Webmoney
Оказывается есть готовое решение
http://support.kaspersky.ru/faq/?qid=208636281
точно, после запуска от касперыча таблетки - все в норме стало.
Спасибо автору!
файл удалила far а папки пришлось тоталкоммандером
Перепробавала все, но sdra64 не отображается никак. Соответственно и удалить тоже -никак ((((
А если посмотреть путь в строке Userinit? Там то должен быть указан полный путь к файлу.
Если нет, то я уже даже не знаю, что посоветовать.
Если sdra64.exe не видать в винде берем FAR, там его тоже невидно, запускаем редактировать фаил, указываем sdra64.exe при етом находясь в каталоге c:\windows\system32\, запускаем, там открывается всякая белеберда удаляем првые буквы можно все, закрываем, и сохраняемся. Потом он уже виден из подвенды, и его можно удалить!
Если не видет папку lowsec, то в FAR прописываем c:\windows\system32\lowsec, она откроется, удаляем там 2 фаила local.ds и user.ds.
Прежде чем все это удалять проделываем все выше написанное Андреем, не забудте про реестр.
Добрый день! Я тоже поймала троянца Panda на настольном компе (пишу с ноута). В моем случае перестал открываться IE8. Система на компе XP SP3 с автоматическим обновлением.У меня стоит DrWEb, который всякий раз нахоит процесс в памяти и сообщает, что обезвредил его. По Вашему алгоритму (весьма впечатлило качество и доступность изложения!) пыталась удалить.
Так вот, в обычном режиме Process Explorer находить и выгружает из памяти sdra64.exe. Но в папке System32 его не видно, как я не меняла свойства папки, хотя другие скрытые файлы видны. И редактирование реестра без удаления файла на помогает. А в безопасном режиме Process Explorer не дает остановить процесс, пишет ошибку - неверный дескрипт после того, как я подтверждаю желание закрыть процесс. Теперь зато файл виден в папке, но не удаляется. Очень надеюсь на Ваш совет.
Gmer.exe вам поможет все скрытые файла найти и обезвредить.
Спасибо за наводку... надо удет попробовать его эффективность.
Нашел где "живет" этот "антируткит" - http://www.gmer.net/
- Я могу заблуждаться, но мне кажется что при обычной попытке удалить файла нет по причине того, что его блокирует перед этим DrWeb. Как вариант - попробовать временно отключить мониторинг DrWeb и проделать все операции.
- В безопасном режиме можно попробовать не удалять, а переименовать файл (например дать ему любое расширение кроме .exe)
Добрый день! Позавчера удаляла все в соответствии с рекомендациями. Все бы ничего, но файл sdra.exe не нашла нигде. Папку удалила, реестр почистила, вчера гружу комп и снова глючит Explorer. Запустила DRW, снова процесс в памяти! Повторила все действия, но опять не обнаружился файл sdra и теперь уже и папку не найти. Короче придется сносить все видимо.
Я тоже нашел sdra64.exe с Process Explorer, однако в папке System32 найти его не удалось, не нашлась там же и папка lowsec.
Решить всю проблему (в том числе и с реестром) программка ZbotKiller.exe (адрес с описанием её и трояна: http://support.kaspersky.ru/faq/?qid=208636281; ссылка на скач: http://support.kaspersky.ru/downloads/utils/zbotkiller.zip).
Она распаковывается и запускается - в результате нашла и sdra64.exe и ещё три гадости, также вычистила их и из реестра, а папка lowsec обнаружилась. Её лучше с концами убрать TuneUp Utilities, или Glary Utilities, или Delete Doctor - они не помещают файлы, папки в корзину, а окончательно их стирают.
У меня были еще и заблокированы файлы local.ds и user.ds из папки lowsec. Их надо таким же образом, как и с sdra64.exe закрыть в процессах. Потом только удалить папку.
Да, действительно, так оно и было. Спасибо за замечание.
Здравствуйте! Помогите пожалуйста разобраться, я подцепила Trojan.Inject.TM . Мой антивирус его находит и удаляет, но на следующий день находит этот троян снова. Я ничего не понимаю =(