Trojan.Pandex!inf

Printable View

03.06.2007, 10:41
leo37

Вложений: 3

Trojan.Pandex!inf

Добрый день !!!
У меня Laptop HP ze 4949.
На компе Symantec Corporate ver.8.00.9374 с обновлёнными базами + Outpost Firewall Pro ver. 2.7.485.5401 (412)
Сразу же при загрузке ( Win XP pro SP2) , антивирус выдаёт сообщение :

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Pandex!inf
File: C:\WINDOWS\system32\winlogon.exe
Location: C:\WINDOWS\system32
Computer: LEO37
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Sun Jun 03 09:18:52 2007

Сканирование проводилось в безопасном режиме .
Буду благодарен вашей помощи !!!
03.06.2007, 11:00
drongo

1. У вас есть дистрибутив windows ? или хотя бы оригинальная копия winlogon.exe ?

2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inetloader.dll','');
QuarantineFile('C:\WINDOWS\system32\adsldpb.dll','');
QuarantineFile('C:\WINDOWS\system32\cscra.exe','');
QuarantineFile('C:\WINDOWS\cscra.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\inetloader.dll');
DeleteFile('C:\WINDOWS\cscra.exe');
DeleteFile('C:\WINDOWS\system32\cscra.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
3.Прислать [B]весь [/B]карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=10143[/url]........

4.Сделать все новые логи [B]в нормальном режиме[/B]
по правилам и прикрепите к теме + файл boot_clr.log из папки AVZ.
03.06.2007, 12:31
leo37

После выполнения скрипта ( в безопасном режиме т.к. в обычном AVZ зависал ) и сканирования в нормальном режиме с выполнением скрипта Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" с последующей перезагрузкой , на старте получаю сообщение :
The system has recovered from a serious error.
В информации об ошибке вот это :
BCCode : c2 BCP1 : 00000007 BCP2 : 00000CD4 BCP3 : 430C0704
BCP4 : E52D6EE9 OSVer : 5_1_2600 SP : 2_0 Product : 256_1
В технической инфе это :
C:\DOCUME~1\leonid\LOCALS~1\Temp\WERba6f.dir00\Mini060307-01.dmp
C:\DOCUME~1\leonid\LOCALS~1\Temp\WERba6f.dir00\sysdata.xml

Пишу это пока не закрываю это сообщение о ошибке , если его закрыть то вылетаю из винды с синим экраном .
03.06.2007, 12:54
drongo

Мда, глубоко вы попали с симантеком ;)
Я так не получил ответа от вас , что с диском хП есть или нет ?
консоль восстановления инсталлирована хотя бы ?

[url]http://support.microsoft.com/kb/307654/ru[/url]
03.06.2007, 13:05
leo37

Диск есть и консоль установлена
03.06.2007, 13:14
drongo

[quote=leo37;113685]Диск есть и консоль установлена[/quote]

Сначала я бы при загрузке винды загрузился в консоль восстановления. Она сама проверит диск на ошибки. Если нет, можно там в командной строке выполнит вот это : [code] Chkdsk /r [/code]
И заменить winlogon выполнив :
[code]
copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y[/code]

[B] Где D: - ваш СД диск , заменить букву на вашу перед исполнением и вставить диск с XP в подставку для кофе :116: [/B]
Перегрузиться .

P.S. [url]http://support.microsoft.com/kb/307654/ru[/url] Почитайте , полезная справка .
Если не получиться с диска , можно winlogon.exe скопировать на сам диск c и по аналогии ;)
03.06.2007, 13:21
leo37

Не понял причём тут симантек , он ведь трояна обнаружил . А такая фишка вышла после героической работы AVZа
03.06.2007, 13:24
leo37

Пока спасибо ...
Отключаюсь , чтобы поколдавать.....
03.06.2007, 13:30
drongo

"Махзик эцбаот " , то есть "Да прибудет с вами сила шаманов "
03.06.2007, 13:40
drongo

winlogon был изменён [B]26/04/2007[/B] 6:36:06 PM - а сегодня уже 3 июня - не смешите мои тапки - проснулся через([B] месяц и неделя [/B])и ничего сделать не может, а ещё говорили первое место по лечению ;)
А о самом главном зловреде в вашей системе он молчит, даже не детектит . Я говорю о очень вредном runtime2.sys возможно ещё есть его друг runtime.sys .
04.06.2007, 14:22
leo37

Диск отсканировал из консоли . Длилось это часа 3 , но в сводке никаких ошибок . И заменил winlogon . Чичас вроде работает , т.е. как раньше симантек не кричит каждую минуту, что winlogon заражён (это и понятно), вопрос что будет дальше . Кстати это у меня уже не первый раз . Было как то пару месяцев назад , я так же восстанавливал winlogon и чистил комп , но гдето эта гадость встаки сидит.
תודה
04.06.2007, 15:24
drongo

Cделайте все 3 лога в нормальном режиме по правилам, вполне возможно что-то осталось ;)
Сами признались, что не первый раз ;) Симантеку чёрную метку я уже давно дал по этому поводу, он начинает видеть поздно.

По классификации Kaspersky:
winlogon.exe = Trojan.Win32.Patched.m
runtime2.sys =Rootkit.Win32.Agent.ey
22.02.2009, 01:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.m[/B] (DrWEB: Trojan.Starter.236)[/LIST][/LIST]