Junior Member
Вес репутации
58
Trojan pandex
После загрузке Symantec в автоматическом режиме обнаруживает Trojan pandex и пишет что удалил, так же начинается рассылка спама трафик тратится как при загрузках, NOD32 обнаруживает WIN32-WIGON и так каждый раз во время загрузки системы, при обычной проверке ничего не обнаруживается.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите системнео восстановление
Пофиксите
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O4 - HKLM\..\Run: [dbpack] C:\PROGRA~1\BODY-B~1\db_pack.exe /fEsS1=backup
O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe" nothing/r
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{31FF080D-12A3-439A-A2EF-4BA95A3148E8}');
DeleteService('syE38');
DeleteService('wdI40');
DeleteService('Winag84');
DeleteService('Winci84');
DeleteService('Windj16');
DeleteService('Winek05');
DeleteService('Wingm05');
DeleteService('Wingm27');
DeleteService('Winhn62');
DeleteService('Winjp51');
DeleteService('Winms62');
DeleteService('Winnt62');
DeleteService('Winou51');
DeleteService('Winrx38');
DeleteService('Winua41');
DeleteService('Winyf51');
DeleteService('xeJ05');
DeleteService('xeJ38');
QuarantineFile('autorun.bat','');
QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xeJ05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winua41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winms62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wingm05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winci84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wdI40.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\wdI40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wingm05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnt62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xeJ05.sys');
DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\opera\opcache4\opr014JG.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('autorun.bat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
После перезагрузки очистите кэш и темп-папки
Закачайте карантин по правилам
Повторите логи от п.10 правил
Junior Member
Вес репутации
58
Спасибо вроде теперь работает нормально трафик не жрет сообщений о рассылке спама нет.
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мои документы\1\программы\60.com','');
BC_DeleteSvc('Winxe27');
BC_DeleteSvc('Winlr05');
BC_DeleteSvc('syE38');
BC_DeleteSvc('rxD05');
BC_DeleteSvc('pvB06');
BC_DeleteSvc('ntY06');
BC_DeleteSvc('nsX73');
BC_DeleteSvc('gmR40');
BC_DeleteSvc('glQ05');
BC_DeleteSvc('djO51');
DeleteFile('C:\WINDOWS\System32\Drivers\djO51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\glQ05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gmR40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\nsX73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ntY06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pvB06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rxD05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\syE38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe27.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
скрипт выполнил логи ниже
Вложения
Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Больше ничего полхого не увидел. Какие проблемы остались?
Junior Member
Вес репутации
58
Сейчас все работает нормально, спасибо!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aea (DrWEB: Trojan.DownLoader.63553)