Pandex троян

[Olli]

Symantec email proxy открывает десятки окошек сначала о том, что сканируются отправляемые сообщения, а потом о том, что отправляемое сообщение похоже на спам и не может быть отправлено.

Симантек ругается, что найден Pandex троян и говорит, что вирус удален и требуется перезагрузка. После перезагрузки все по новой.

Проверка DrWebом ничего не нашла.

Помогите, пожалуйста!
Спасибо

[Rene-gad]

www.rarus.ru и иже с ним сами прописывали?
Если нет -
-Пофиксите

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad.rarus.ru/wpad.dat
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = magenta.rarus.ru;webmail.rarus.ru;www.rarus.ru;www.gaap.ru;support.rarus.ru;winupdate.rarus.ru;techwriter.rarus.ru;ucheba.rarus.ru;fwd.ru;update.rarus.ru;indigo.rarus.ru;rarusdb.rarus.ru;213.247.194.*;172.20.*.*;<local>
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan.rarus.ru
O17 - HKLM\Software\..\Telephony: DomainName = lan.rarus.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lan.rarus.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lan.rarus.ru,dyn.rarus.ru,dyn1.rarus.ru,rarus.ru,lan.rarus.nn.ru,1c-software.local,vn.rarus.ru,spb.rarus.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lan.rarus.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lan.rarus.ru,dyn.rarus.ru,dyn1.rarus.ru,rarus.ru,lan.rarus.nn.ru,1c-software.local,vn.rarus.ru,spb.rarus.ru
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lan.rarus.ru,dyn.rarus.ru,dyn1.rarus.ru,rarus.ru,lan.rarus.nn.ru,1c-software.local,vn.rarus.ru,spb.rarus.ru

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ccEvtMgrHTTPFilter');
 DeleteService('ccEvtMgrWZCSVC');
 DeleteService('PlugPlayPlugPlay');
 DeleteService('RpcLocatorIDriverT');
 DeleteService('RpcSs Service');
 DeleteService('S24EventMonitorRemoteAccess');
 DeleteService('Themesaspnet_state');
 DeleteService('WmiApSrvTrkWks');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Olli]

Спасибо!

rarus и иже с ним - это нормально)

Только не поняла вот этот пункт:
"Скопированные с помощью IceSword файлы сохраните в карантине"
Какие файлы надо было скопировать?
Выслала все что было в карантине.

[Rene-gad]

"Скопированные с помощью IceSword файлы сохраните в карантине"

Это я не удалил строку из моего шаблона, извините


Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ccEvtMgrWZCSVC');
 DeleteService('ccEvtMgrHTTPFilter');
 DeleteService('WmiApSrvTrkWks');
 DeleteService('Themesaspnet_state');
 DeleteService('S24EventMonitorRemoteAccess');
 DeleteService('RpcSs Service');
 DeleteService('PlugPlayPlugPlay');
 DeleteService('NtLmSspRSVPSysmonLog');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ccEvtMgrWZCSVC');
 BC_DeleteSvc('ccEvtMgrHTTPFilter');
 BC_DeleteSvc('WmiApSrvTrkWks');
 BC_DeleteSvc('Themesaspnet_state');
 BC_DeleteSvc('S24EventMonitorRemoteAccess');
 BC_DeleteSvc('RpcSs Service');
 BC_DeleteSvc('PlugPlayPlugPlay');
 BC_DeleteSvc('NtLmSspRSVPSysmonLog');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Olli]

Окошки про сканирование сообщений от Симантика больше не плодятся

Вот они, логи :

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
 SetServiceStart('Schedule',4);
 DeleteService('WmiApSrvTrkWks');
 DeleteService('Themesaspnet_state');
 DeleteService('S24EventMonitorRemoteAccess');
 DeleteService('PlugPlayPlugPlay');
 DeleteService('NtLmSspRSVPSysmonLog');
 DeleteService('ccEvtMgrWZCSVC');
 DeleteService('ccEvtMgrHTTPFilter');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.

[Olli]

логи:

[Rene-gad]

По хорошему не сдается.
Усилим скрипт.
Вы Антивирус перед выполнением скрипта не забываете выключить? Системное восстановление?

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ccEvtMgrHTTPFilter');
 DeleteService('ccEvtMgrWZCSVC');
 DeleteService('NtLmSspRSVPSysmonLog');
 DeleteService('PlugPlayPlugPlay');
 DeleteService('RpcSs Service');
 DeleteService('S24EventMonitorRemoteAccess');
 DeleteService('WmiApSrvTrkWks');
 DeleteService('Themesaspnet_state');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ccEvtMgrHTTPFilter');
 BC_DeleteSvc('ccEvtMgrWZCSVC');
 BC_DeleteSvc('NtLmSspRSVPSysmonLog');
 BC_DeleteSvc('PlugPlayPlugPlay');
 BC_DeleteSvc('RpcSs Service');
 BC_DeleteSvc('S24EventMonitorRemoteAccess');
 BC_DeleteSvc('WmiApSrvTrkWks');
 BC_DeleteSvc('Themesaspnet_state');
BC_Activate;
RebootWindows(true);
end.

Потом логи от п. 10 правил повторите.

[Olli]

Восстановление системы отключено
А антивирус Семантик - снимаю галку Enable, то есть он в трее висит, но перечеркнутый. Так можно?

Логи:

[Rene-gad]

Вроде не видать гадов
Сервис Пак 3 поставьте и библию нашу почитайте: http://security-advisory.virusinfo.info/

[Olli]

Спасибо большое!
)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.l (DrWEB: Trojan.DownLoad.3503)