Trojan.Pandex

Printable View

24.08.2007, 09:48
energetik

Вложений: 3

Trojan.Pandex

Здравствуйте.
Система: Windows 2000.
Антивирус: Symantec 9.
Симптомы: Заметил, что с компьютера идёт огромный поток исходящего трафика. Проверил Сумантеком, он нашёл файл C:\WINNT\system32\drivers\runtime2.sy_ и сказал, что это Trojan.Pandex и что поместил его в изолятор, откуда я его удалил. Думал, что проблема решена, однако, через какое-то время опять стал расти исходящий трафик. Скан на этот раз ничего не дал. Из обычного режима CureIt не работает (запускается как самораспаковывающийся архив) и у сумантека реалтайм не включается.
Логи прилагаю в соответствии с правилами.
Прошу помощи в решении проблемы.
24.08.2007, 10:16
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Drivers\VDFDisk.SYS','');
QuarantineFile('C:\perenos\Мои документы\Напоминатель\Reminder.exe','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('C:\Program Files\IChat\iChat.exe','');
QuarantineFile('C:\PROGRA~1\GENIUS~1\mouseElf.exe','');
QuarantineFile('C:\Program Files\AnVir Virus Destroyer\AnVir.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\Program Files\ICQ\NDetect.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINNT\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINNT\system32\drivers\runtime2.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINNT\system32\drivers\runtime2.sys');
DeleteFile('C:\WINNT\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11910[/url]

Перекачать cureit и и просканировать как написано в пункте 2 правил, а не в нормальном режиме.
Сделайте новые логи после лечения и присоедините к следующему сообщению.
24.08.2007, 11:03
energetik

Карантин прислал, выполняю оставшиеся пункты.
27.08.2007, 13:49
energetik

Вложений: 3

Проверил Cure!It'ом как Вы написали. Он ничего не нашёл высылаю логи.
27.08.2007, 14:00
PavelA

Профиксить в Hijackthis:

O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
27.08.2007, 14:11
drongo

не забыть поставить актуальный антивирус, symantec 2001 года это бесполезная трата ресурсов.
27.08.2007, 14:17
energetik

Пофиксил. Что теперь делать?
27.08.2007, 14:54
Muzzle

В логах ничего зловредного больше нет.
Не мешало бы установить для вашего windows 2000,SP4 и так же воспользоваться советом [B]drongo[/B].
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!
27.08.2007, 14:58
energetik

Спасибо. А насчёт антивируса, что бы могли посоветовать?
27.08.2007, 15:04
Muzzle

Рекомендуемые нами антивирусы [url]http://virusinfo.info/showthread.php?t=1550[/url]
22.02.2009, 02:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]