Trojan.Pandex

Printable View

07.06.2008, 14:07
ghostil

Trojan.Pandex

Здравствуйте!:)
Прошу посмотреть логи, поскольку симантек ругается на отправку писем из OE, которые никто не отправлял. Симантек выдаёт сообщение о том, что найден Trojan.Pandex.
Заранее благодарен. :)
07.06.2008, 15:24
ghostil

Люди добрые, я не стремлюсь поторапливать вас. Сам сейчас просматриваю логи и не могу ничего плохого найти. Пожалуйста, дайте свой профессиональный ответ.=)

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

я прошу прощения, но моё сообщение умышленно игнорируется?)
07.06.2008, 15:28
Гриша

Отключите антивирус,интернет и восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqy38.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('Winqy38');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy38.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\System Volume Information\_restore{119EEF47-A534-4653-9A28-4152F711F8EB}\RP242\A0020664.exe');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winqy38 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи.
07.06.2008, 15:36
ghostil

спасибо огромное за ответ!!!!! Сейчас всё выполню!!!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Карантин закачал. Сейчас логи выполню и выложу.
07.06.2008, 16:02
ghostil

Вложений: 3

Вот новые логи.
07.06.2008, 16:07
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]

Жалобы есть?
07.06.2008, 16:49
Alex_Goodwin

В карантине:
ie41.tmp_, ie43.tmp_ - Trojan.Win32.Small.azu
userinit.exe_ - Worm.Win32.Gadja.a
07.06.2008, 17:00
ghostil

Пофиксил. Жалоб нет. Спасибо!
А это старые трояны?
07.06.2008, 17:11
Гриша

Worm.Win32.Gadja.a-этот свежий,он подменяет собой системный файл,скажите спасибо Зайцеву Олегу,за хорошею процедуру лечения:)Trojan.Win32.Small.azu-этот тоже детектирован от 4 июня
07.06.2008, 17:48
ghostil

Обязательно скажу!=)
22.02.2009, 05:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\temp\\ie41.tmp - [B]Trojan.Win32.Small.azu[/B] (DrWEB: Trojan.Rntm.6)[*] c:\\temp\\ie43.tmp - [B]Trojan.Win32.Small.azu[/B] (DrWEB: Trojan.Rntm.6)[*] c:\\windows\\system32\\userinit.exe - [B]Worm.Win32.Gadja.a[/B] (DrWEB: Trojan.DownLoader.62860)[/LIST][/LIST]