При работе из правого нижнего трея выскакивает пузырек: "your computer is infected..." Symantec antivirus обнаруживает Troyan.Pandex, вроде бы удаляет его, но он появляется снова.
При работе из правого нижнего трея выскакивает пузырек: "your computer is infected..." Symantec antivirus обнаруживает Troyan.Pandex, вроде бы удаляет его, но он появляется снова.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\win_2.dll',''); DeleteService('Winqw85'); DeleteService('Winpw30'); DeleteService('Winmt30'); DeleteService('Winkq17'); DeleteService('Winhn74'); DeleteService('Winfm85'); DeleteService('Winem06'); DeleteService('Winbi06'); DeleteService('WmiApSrvupnphost'); DeleteService('SerialKeysEventSystem'); DeleteService('PlugPlayRpcSs'); DeleteService('Nla Intelligent Application Manager (IAM)'); DeleteService('InterBaseGuardianRasMan'); DeleteService('ForceWareAudioSrv'); DeleteService('FastUserSwitchingCompatibilityInterBaseServer'); DeleteService('EventlognSvcIp'); QuarantineFile('srv.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); QuarantineFile('c:\5cqy9r.exe',''); DeleteFile('c:\5cqy9r.exe'); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Winbi06.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winem06.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winfm85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winhn74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winkq17.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winmt30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winpw30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winqw85.sys'); DeleteFile('C:\WINDOWS\system32\win_2.dll'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Спасибо за помощь. Пока у меня нет доступа к зараженному компу. Будет 15-16 сентября. Обязательно попробую и вышлю карантин и логи.
Еще раз спасибо. Выполнил скрипт, по первому впечатлению всё пришло в норму. Высылаю карантин и логи.
Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы
Удалите Spyware Doctor, обновите базы АВЗ, закройте все приложения, выгрузите Антивирус, повторите логи.
По ссылке "прислать запрошенный карантин вверху темы" можно прикрепить только один файл, а в карантине их три. Как быть?
И еще: я не знаю, как архивировать файлы с паролем.
Все по очереди.Сообщение от Andreiko
Почитайте Мануал или Помощь к Вашему пакеру.
Выслал карантин (если я правильно вас понял). Высылаю логи. Еще раз спасибо огромное.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('PlugPlayRpcSs'); DeleteService('NetmanUPS'); DeleteService('Iomega Activity Disk2'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('PlugPlayRpcSs'); BC_DeleteSvc('NetmanUPS'); BC_DeleteSvc('Iomega Activity Disk2'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
.Код:virusinfo_syscheck.zip hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Все выполнил. Попытался отправить примерно в 2:00 МСК, получил ответ: "У вас недостаточно прав для открытия этой страницы". Попытаюсь отправить сейчас с другого компа. Если вложения не дойдут - значит опять у меня недосчтаточно прав? А жаль - я как раз собирался вас отблагодарить, отправив денежки, но если у меня на это нет прав - что же делать?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('PlugPlayRpcSs'); BC_DeleteSvc('NetmanUPS'); BC_DeleteSvc('Iomega Activity Disk2'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи
.Код:virusinfo_syscheck.zip hijackthis.log
- Прикрепите логи к новому сообщению.
Добавлено через 55 секунд
Спасибо, но денежки можно отправить даже не будучи зарегистрированным на форуме
Последний раз редактировалось Rene-gad; 16.09.2008 в 11:44. Причина: Добавлено
Не будет ли после выполнения этого скрипта проблем с запуском Iomega-ZIP? Помню, мне стоило больших трудов установить для него драйвер, Windows ругался, что это устройство не сертифицировано под XP, но все-таки как-то установился с третьей попытки.
Запуск службы Iomega Activity Disk2 осуществляется таким интересным файлом
Я не уверен , что он хороший. Под Вашу ответственность можете 2 строчки с Iomega Activity Disk2 убрать из скрипта.Код:.exe
Не знаю, что случилось вчера, но форум упорно не хотел меня авторизовывать. Попробовал общаться по e-mail, но и Яндекс не хотел меня признавать. По совету Яндекса в Internet explorer сделал следующее: Сервис-Свойства обозревателя-конфиденциальность-дополнительно-перекрыть автоматическую обработку файлов cookie. После этого всё заработало. Выполнил ваши рекомендации, посылаю логи. Дошли ли деньги? Еще вопрос: у меня есть сменный жесткий диск, на который скопировано многое из этого компьютера, надеюсь без вирусов, но как знать?. В процессе лечения я его не подключал. Что сделать теперь, чтобы подстраховаться?
если это I:\AUTORUN\AutoRun cd-rom то ничего подозрительного
Нет, это или H: или K: не помню точно.
I:\AUTORUN\AutoRun - что это вам известно ?
При чем тут Autorun? Я хочу спросить, как можно проверить сменный жесткий диск, на который была записана информация и куда могли попасть вредные файлы. Диск подключается через USB.
пытаюсь у вас выяснить что такое диск I:\ что непонятно ?
диск можно проверить антивирусом ....
При чем тут autorun? Я хочу спросить, как можно проверить сменный жесткий диск, на который незадолго до обнаружения вируса была записана информация и туда могли попасть вредные файлы. Диск подключается через USB.
Добавлено через 1 минуту
Диск I это CD-ROM.
Последний раз редактировалось Andreiko; 17.09.2008 в 00:39. Причина: Добавлено
Уважаемый(ая) Andreiko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
