Показано с 1 по 8 из 8.

Trojan.Pandex + Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64 (заявка № 28229)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    31

    Thumbs up Trojan.Pandex + Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64

    Добрый день.

    На рабочем столе появилась красно-белая заставка с надписью: Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.

    Warning! Win32/Adware.Virtumonde Detected on your computer - Danger!

    Warning! Win32/PrivacyRemover.M64 Detected on your computer - Danger!

    Please activate your antivirus software to Clean your computer

    2. Symantec обнаружил Trojan.Pandex и просит перезагрузить компьютер. После перезагрузки опять ловит вирус и просит перезагрузить компьютер. Далее по кругу.

    Вирус Trojan.Pandex раз в несколько минут рассылает спам с моей машины. Пробовал сканировать с помощью CureIt, Spyware Doctor, AVZ - эти программы вирус не обнаруживают.

    Прочитал, что для этого вируса нужно индивидуальное лечение. Прикладываю необходимые файлы. Подскажите, пожалуйста, пути решения проблемы.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    На время выполнения скрипта, отключитесь от сети, отключите восстановление системы, антивирусные мониторы (видны Simantec и Spyware doctor - отключите оба) и файерволл (у вас виден Outpost - его, на время выполнения скрипта, следует не просто перевести в режим разрешения, но отключить)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\lphcr42j0eler.exe');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphcr42j0eler.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphcr42j0eler.scr','');
     QuarantineFile('c:\windows\system32\lphcr42j0eler.exe','');
     QuarantineFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf17.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\LIBBZ2.dll','');
     DelWinlogonNotifyByFileName('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyf17.sys');
     DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
     BC_DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
     DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
     BC_DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
     DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
     BC_DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
     DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
     BC_DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
     DeleteService('Winyf17');
     DeleteService('VSSALG');
     DeleteService('stisvcRpcSs');
     DeleteService('SquidNTHidServ');
     DeleteService('VSSDcomLaunch');
     DeleteService('ScheduleCiSvc');
     DeleteService('ProtectedStorageERSvc');
     DeleteService('NlaEventSystem');
     DeleteService('mnmsrvcEventlog');
     DeleteService('Appleclr_optimization_v2.0.50727_32');
     DeleteService('DcomLaunchMSDTC');
     DeleteService('dmserverPlugPlay');
     DeleteService('DefWatchaspnet_state');
     BC_DeleteSVC('Winyf17');
     BC_DeleteSVC('VSSALG');
     BC_DeleteSVC('stisvcRpcSs');
     BC_DeleteSVC('SquidNTHidServ');
     BC_DeleteSVC('VSSDcomLaunch');
     BC_DeleteSVC('ScheduleCiSvc');
     BC_DeleteSVC('ProtectedStorageERSvc');
     BC_DeleteSVC('NlaEventSystem');
     BC_DeleteSVC('mnmsrvcEventlog');
     BC_DeleteSVC('Appleclr_optimization_v2.0.50727_32');
     BC_DeleteSVC('DcomLaunchMSDTC');
     BC_DeleteSVC('dmserverPlugPlay');
     BC_DeleteSVC('DefWatchaspnet_state');
    bc_importquarantinelist;
    BC_activate;
    executesysclean;
    executerepair(5);
    executerepair(6);
    executerepair(7);
    executerepair(11);
    rebootwindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28229 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
    Последний раз редактировалось Numb; 17.08.2008 в 14:28. Причина: поправил скрипт

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    31
    Большое спасибо за помощь! После перезагрузки заставка исчезла, вирус похоже тоже. А что касается Outpost'a, он у меня вообще не стоит на компьютере. Я удалил его давно. То что вы видели, видимо какие-то остатки в реестре. Вроде почистил реестр.

    Прикрепляю логи AVZ как вы и просили. Еще раз большое спасибо!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Больше в логах ничего подозрительного.
    Какие еще проблемы замечаете?
    Сервис Пак 3 + последующие патчи + Java RE 1.6_07 нужно установить.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    31
    1. Код пофиксил
    2. Java RE поставил
    3. SP3 можно ставить по ссылке в Вашей подписи? (Написано, что для It специалистов и большого парка машин.) Или для одной машины лучше брать через апдейты в Microsoft Windows Update?
    4. Проблем больше нет. Не ясно только - где мог взять вирус.

    Спасибо!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от antihome Посмотреть сообщение
    3. SP3 можно ставить по ссылке в Вашей подписи?
    Через апдейты Микрософта можно, но лучше скачать и установить
    Цитата Сообщение от antihome Посмотреть сообщение
    Не ясно только - где мог взять вирус.
    Почитайте: http://security-advisory.virusinfo.info/ - узнаете

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Через апдейты Микрософта можно, но лучше скачать и установить

    Почитайте: http://security-advisory.virusinfo.info/ - узнаете
    Уже Лет 5 не было проблем с вирусами, а теперь серьезно задумался о безопасности. Думаю ваша книга очень поможет. Спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 78
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\rover\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
      2. c:\\windows\\system32\\lphcr42j0eler.exe - Trojan-Downloader.Win32.Small.abfd (DrWEB: Trojan.Packed.600)
      3. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)
      4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.blh (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) antihome, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    2. Ответов: 20
      Последнее сообщение: 22.02.2009, 07:37
    3. Ответов: 29
      Последнее сообщение: 22.02.2009, 07:30
    4. Ответов: 17
      Последнее сообщение: 22.02.2009, 07:23
    5. Ответов: 3
      Последнее сообщение: 16.09.2008, 15:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01042 seconds with 22 queries