Trojan pandex

**Сергей Попов** · 11.06.2008, 18:32

После загрузке Symantec в автоматическом режиме обнаруживает Trojan pandex и пишет что удалил, так же начинается рассылка спама трафик тратится как при загрузках, NOD32 обнаруживает WIN32-WIGON и так каждый раз во время загрузки системы, при обычной проверке ничего не обнаруживается.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 11.06.2008, 18:47

Отключите системнео восстановление
Пофиксите

Код:

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O4 - HKLM\..\Run: [dbpack] C:\PROGRA~1\BODY-B~1\db_pack.exe /fEsS1=backup
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe" nothing/r
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{31FF080D-12A3-439A-A2EF-4BA95A3148E8}');
 DeleteService('syE38');
 DeleteService('wdI40');
 DeleteService('Winag84');
 DeleteService('Winci84');
 DeleteService('Windj16');
 DeleteService('Winek05');
 DeleteService('Wingm05');
 DeleteService('Wingm27');
 DeleteService('Winhn62');
 DeleteService('Winjp51');
 DeleteService('Winms62');
 DeleteService('Winnt62');
 DeleteService('Winou51');
 DeleteService('Winrx38');
 DeleteService('Winua41');
 DeleteService('Winyf51');
 DeleteService('xeJ05');
 DeleteService('xeJ38');
 QuarantineFile('autorun.bat','');
 QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xeJ05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winua41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winou51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winms62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Wingm05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winci84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winag84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\wdI40.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\wdI40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winag84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wingm05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winms62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnt62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winou51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winua41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\xeJ05.sys');
 DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('autorun.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

После перезагрузки очистите кэш и темп-папки
Закачайте карантин по правилам
Повторите логи от п.10 правил

**Сергей Попов** · 12.06.2008, 20:40

Спасибо вроде теперь работает нормально трафик не жрет сообщений о рассылке спама нет.

**V_Bond** · 12.06.2008, 21:06

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Documents and Settings\Мои документы\1\программы\60.com','');
BC_DeleteSvc('Winxe27');
BC_DeleteSvc('Winlr05');
BC_DeleteSvc('syE38');
BC_DeleteSvc('rxD05');
BC_DeleteSvc('pvB06');
BC_DeleteSvc('ntY06');
BC_DeleteSvc('nsX73');
BC_DeleteSvc('gmR40');
BC_DeleteSvc('glQ05');
BC_DeleteSvc('djO51');
 DeleteFile('C:\WINDOWS\System32\Drivers\djO51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\glQ05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\gmR40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\nsX73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ntY06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\pvB06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\rxD05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\syE38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe27.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**Сергей Попов** · 13.06.2008, 20:26

скрипт выполнил логи ниже

**Rene-gad** · 13.06.2008, 22:21

Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Больше ничего полхого не увидел. Какие проблемы остались?

**Сергей Попов** · 14.06.2008, 19:46

Сейчас все работает нормально, спасибо!

**CyberHelper** · 22.02.2009, 05:51

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aea (DrWEB: Trojan.DownLoader.63553)

Trojan pandex (заявка № 24437)

Опции темы

Trojan pandex

Итог лечения

Похожие темы

trojan.pandex, trojan.adclicker, windows validation

Trojan.Pandex

Trojan.Pandex & Backdoor.Trojan после посещения Одноклассники.ру

Обнаружил Trojan.Pandex и Trojan Horse

вирусы Trojan.Pandex и Trojan.Backdoor

Ваши права в разделе