Printable View
Пожалуйста помогите! Завелся Trojan pandex. Симантек обнаруживает его в автоматическом режиме и вроде удаляет. А при проверке вручную ничего не находит. Происходит это постоянно при соединении с интернетом, а потом начинается отправка каких-то сообщений по непонятным адресам.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyt12');
DeleteService('Winyj11');
DeleteService('Winxi45');
DeleteService('Winxi11');
DeleteService('Winxd01');
DeleteService('Winvq80');
DeleteService('Winte45');
DeleteService('Winrr12');
DeleteService('Winpu34');
DeleteService('Winpa45');
DeleteService('Winns80');
DeleteService('Winhw45');
DeleteService('Wingg67');
DeleteService('Wingb68');
DeleteService('Wingb01');
DeleteService('Winey01');
DeleteService('Winch23');
DeleteService('Winau44');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyt12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyj11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvq80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winte45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpa45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhw45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingb68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingb01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winey01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winch23.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winau44.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winau44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winch23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winey01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingb01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingb68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhw45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpa45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrr12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winte45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvq80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyj11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyt12.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=26777[/URL]
3. Повторите логи.
Все сделал, спасибо огромное! Пока проблем больше не наблюдается. Карантин отправил.
Логи все же не мешало повторить.
повторяю
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Скрипт выполнил. В карантине ничего нет. И буквально через 5 минут Симантек в автоматическом режиме находит trojan. horse. Весь этап прошел заново.
в логах чисто .... антивирус на время выполнения скриптов нужно отключать ...
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dfl[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]