Снова Pandex

Printable View

13.08.2008, 14:25
tomsv

Вложений: 2

Снова Pandex

еще одна машина поймала Pandex, посылаю логи
13.08.2008, 14:52
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('WZCSVCccEvtMgrSysmonLog');
BC_DeleteSvc('wscsvcRasAuto');
BC_DeleteSvc('wscsvcIDriverTWmiApSrvWmiApSrv');
BC_DeleteSvc('wscsvcIDriverT');
BC_DeleteSvc('wscsvc HotKey Poller');
BC_DeleteSvc('WmiApSrvWmiApSrv');
BC_DeleteSvc('WmiApSrvdmserver');
BC_DeleteSvc('VSSMDMAppMgmtsrservice');
BC_DeleteSvc('VSSMDMAppMgmt');
BC_DeleteSvc('VSSMDM');
BC_DeleteSvc('UPSccEvtMgrSysmonLog');
BC_DeleteSvc('upnphostSCardSvrNtmsSvcseclogon');
BC_DeleteSvc('TermServiceSpooler');
BC_DeleteSvc('TermServiceHTTPFilter');
BC_DeleteSvc('TapiSrvIDriverTSPBBCSvc');
BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageWZCSVC');
BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageSamSs');
BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageNetman');
BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorage');
BC_DeleteSvc('SysmonLogSCardSvrEventSystemVSS');
BC_DeleteSvc('SysmonLogdmadmin');
BC_DeleteSvc('SymantecAlerter');
BC_DeleteSvc('SwPrvThemes');
BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLogCiSvc');
BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLog');
BC_DeleteSvc('stisvcPolicyAgent');
BC_DeleteSvc('SNDSrvcNtmsSvcIDriverTSPBBCSvc');
BC_DeleteSvc('seclogonAppMgmtBrowser');
BC_DeleteSvc('SCardSvrNtmsSvcseclogon');
BC_DeleteSvc('RHASPEMURDSessMgr');
BC_DeleteSvc('RemoteRegistryProtectedStorage');
BC_DeleteSvc('RemoteAccessdmserver');
BC_DeleteSvc('RDSessMgrVSSMDMAppMgmt');
BC_DeleteSvc('RDSessMgrSpooler');
BC_DeleteSvc('oseSSDPSRV');
BC_DeleteSvc('NtmsSvcTrkWks HotKey Poller');
BC_DeleteSvc('NtmsSvcTrkWks');
BC_DeleteSvc('NtmsSvcseclogon');
BC_DeleteSvc('NtmsSvcIDriverTSPBBCSvc');
BC_DeleteSvc('NtLmSspTapiSrvIDriverTSPBBCSvc');
BC_DeleteSvc('NetDDEUPS');
BC_DeleteSvc('NetDDEdsdmWmiApSrv');
BC_DeleteSvc('lanmanserverRDSessMgrVSSMDMAppMgmt');
BC_DeleteSvc('lanmanserverdmadminSpooler');
BC_DeleteSvc('ImapiServiceThemes');
BC_DeleteSvc('ImapiServiceSamSs');
BC_DeleteSvc('ImapiService Smart');
BC_DeleteSvc('IDriverTSPBBCSvc');
BC_DeleteSvc('IDriverTCryptSvc');
BC_DeleteSvc('HTTPFilterSNDSrvc');
BC_DeleteSvc('helpsvcSysmonLogdmadminSwPrv');
BC_DeleteSvc('helpsvcSysmonLogdmadmin');
BC_DeleteSvc('helpsvcccEvtMgr');
BC_DeleteSvc('EventSystemVSS');
BC_DeleteSvc('EventSystemAlerterSpooler');
BC_DeleteSvc('EventlogVSSMDMAppMgmt');
BC_DeleteSvc('ERSvcW32Time');
BC_DeleteSvc('ERSvcTapiSrv');
BC_DeleteSvc('DnscacheSamSs');
BC_DeleteSvc('dmadminSpooler');
BC_DeleteSvc('DhcpCOMSysAppWZCSVCThemes');
BC_DeleteSvc('DcomLaunchwscsvcIDriverT');
BC_DeleteSvc('DcomLaunchRemoteAccessNla');
BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcSavRoam');
BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcCryptSvc');
BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvc');
BC_DeleteSvc('DcomLaunchProtectedStorage AntiVirus');
BC_DeleteSvc('DcomLaunchProtectedStorage');
BC_DeleteSvc('CryptSvcSamSs');
BC_DeleteSvc('COMSysAppWZCSVCThemes');
BC_DeleteSvc('COMSysAppWZCSVC');
BC_DeleteSvc('ClipSrvDefWatch');
BC_DeleteSvc('ccSetMgrAppMgmtBrowser');
BC_DeleteSvc('ccEvtMgrSysmonLog');
BC_DeleteSvc('ccEvtMgrEventSystem');
BC_DeleteSvc('ATISENS');
BC_DeleteSvc('AppMgmtBrowser');
BC_DeleteSvc('ALGwscsvc');
BC_DeleteSvc('AlerterSpooler');
BC_DeleteSvc('AlerterDcomLaunchProtectedStorageNtmsSvcCryptSvc');
BC_DeleteSvc('AlerterAudioSrv');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('srv.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
13.08.2008, 16:42
tomsv

повторяю логи

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

логи
13.08.2008, 16:50
tomsv

Вложений: 2

логи
13.08.2008, 17:03
Rene-gad

Обновите версию Хайджека (ссылка в правилах) и базы АВЗ

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe','');
DeleteFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
22.02.2009, 07:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.axd[/B] (DrWEB: BackDoor.Bulknet.206)[/LIST][/LIST]