Pandex

Printable View

Показывать 40 сообщений этой темы на одной странице

13.08.2008, 19:49
Саня В.

Вложений: 3

Pandex

помогите, пожалуйста.

Помогите, пожалуйста!
Спасибо
13.08.2008, 19:51
Саня В.

Описание таки не добавилось :(
Когда включил комп в субботу было примерно как у моего коллеги по несчастью "Symantec email proxy открывает десятки окошек сначала о том, что сканируются отправляемые сообщения, а потом о том, что отправляемое сообщение похоже на спам и не может быть отправлено.
Симантек ругается, что найден Pandex троян и говорит, что вирус удален и требуется перезагрузка. После перезагрузки все по новой."
Полная проверка системы нашла ещё несколько виусов и вроде поборола их. CureIt тоже чего-то наотыскивал.
Выполнил первые шаги правил. Теперь окно о найденном вирусе не выскакивает. Но если заглянуть в результаты автоматической проверки, написано, что найден Pandex и типа обезврежен. Так же растёт трафик, как входящий так и исходящий.

В екселе или ворде достаточно просто выделить текст, так теперь перед закрытием запрашивает сохранение файла. Стрянно...

Помогите!
13.08.2008, 23:45
V_Bond

выполните скрипт .....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
QuarantineFile('E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL','');
BC_DeleteSvc('xmlprovBITSNetDDEdsdm');
BC_DeleteSvc('WZCSVCHidServ');
BC_DeleteSvc('TlntSvrlanmanworkstation');
BC_DeleteSvc('TlntSvrImapiService');
BC_DeleteSvc('SNDSrvcWudfSvcUMWdf');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvc Hid Service');
BC_DeleteSvc('SNDSrvcWudfSvc');
BC_DeleteSvc('SharedAccessRpcSs');
BC_DeleteSvc('ScheduleShellHWDetection');
BC_DeleteSvc('SavRoamSysmonLog');
BC_DeleteSvc('NetmanSSDPSRV');
BC_DeleteSvc('LmHostsCryptSvc');
BC_DeleteSvc('lanmanserverNetDDEdsdm');
BC_DeleteSvc('helpsvcTrkWks');
BC_DeleteSvc('DVD-RAM_ServiceTrkWks');
BC_DeleteSvc('COMSysAppstisvc');
BC_DeleteSvc('ccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('ccPwdSvcWmiwscsvc');
BC_DeleteSvc('ccPwdSvcWmi');
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_DeleteSvc('BITSNetDDEdsdm');
BC_DeleteSvc('AudioSrvCiSvc');
BC_DeleteSvc('AudioSrv AntiVirus');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
14.08.2008, 22:17
Саня В.

Вложений: 3

готово
14.08.2008, 22:47
V_Bond

MyWebSearch - деинсталируйте ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DeleteFile('E:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe');
DeleteFile('E:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
BC_DeleteSvc('WZCSVCHidServ');
BC_DeleteSvc('UPSShellHWDetection');
BC_DeleteSvc('TlntSvrlanmanworkstation');
BC_DeleteSvc('TlntSvrImapiService');
BC_DeleteSvc('SNDSrvcWudfSvcUMWdf');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvc Hid Service');
BC_DeleteSvc('SNDSrvcWudfSvc');
BC_DeleteSvc('SharedAccessRpcSs');
BC_DeleteSvc('ScheduleShellHWDetectionNtmsSvc');
BC_DeleteSvc('ScheduleShellHWDetection');
BC_DeleteSvc('SavRoamSysmonLog');
BC_DeleteSvc('RemoteRegistryxmlprovBITSNetDDEdsdm');
BC_DeleteSvc('ProtectedStorageHTTPFilter');
BC_DeleteSvc('NetmanSSDPSRV');
BC_DeleteSvc('LmHostsCryptSvc');
BC_DeleteSvc('lanmanserverNetDDEdsdm');
BC_DeleteSvc('HTTPFilterScheduleShellHWDetection');
BC_DeleteSvc('helpsvcTrkWks');
BC_DeleteSvc('DVD-RAM_ServiceTrkWks');
BC_DeleteSvc('COMSysAppstisvc');
BC_DeleteSvc('ccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('ccPwdSvcWmiwscsvc');
BC_DeleteSvc('ccPwdSvcWmi');
BC_DeleteSvc('BITSNetDDEdsdm');
BC_DeleteSvc('AudioSrvCiSvc');
BC_DeleteSvc('AudioSrv AntiVirus');
QuarantineFile('E:\WINDOWS\system32\SysConfig.dll','');
QuarantineFile('E:\WINDOWS\System32\markfundrv.dll','');
QuarantineFile('E:\WINDOWS\system32\IOInfo.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
14.08.2008, 23:19
Саня В.

Вложений: 1

Я уже пытался.>:(
Погите удалить его:(
14.08.2008, 23:30
Rene-gad

я добавил удаление тулбара в скрипт, Выполняйте.
14.08.2008, 23:48
Саня В.

Прислал. Там 4 файла. Выслал всё в одном... Может что не так?
14.08.2008, 23:51
Rene-gad

Логи повторите , плиз.
15.08.2008, 00:38
Саня В.

Вложений: 3

Пока выкладывал логи (ещё предыдущие) Виндовс накопал где-то обновлений и теперь при выключении компьютера ставит меня перед выбором, применять их или нет. Пока не применял. Применить или подождать?
15.08.2008, 00:42
V_Bond

выполните скрипт ...
[code]
begin
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
обновления конечно ставить
15.08.2008, 00:55
Саня В.

Вложений: 2

Понял Вас. Обновим. А то, что MyWebSearch до сих пор в окне удаления-установки висит - это нормально?
15.08.2008, 01:41
V_Bond

отключите антивирус ....он не дает добить врага
пофиксите
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL (file missing
O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\
[/code]
выполните скрипт...
[code]
begin
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_DeleteSvc('xmlprovBITSNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
15.08.2008, 09:02
Саня В.

Может я не так Антивирус отключаю?
У меня симантек. В трее не светится. Открываю окошко его через "пуск" вхожу в настройки и по очереди снимаю галочки со всех автоматических проверок.
15.08.2008, 11:17
Rene-gad

[QUOTE=Саня В.;267852]Может я не так Антивирус отключаю?
[/QUOTE]Попробуйте через msconfig: Автостарт - Все отключить, Службы/Службы виндовс не показывать, остальные - отключить.
15.08.2008, 12:45
Саня В.

Спасибо, пробовать смогу только после 19-ти
Я не то чтобы совсем плохой. Но пока не совсем понял, где этот автостарт взять:(
15.08.2008, 12:52
Rene-gad

[QUOTE=Саня В.;267967]
Я не то чтобы совсем плохой.[/QUOTE]Верю :D Пуск/Выполнить... , набрать команду [B]msconfig[/B], откроется панель с карточками. Среди них найдете указанные карточки Автозапуск и Службы.
15.08.2008, 13:31
Саня В.

Спасибо:). До вечера.
15.08.2008, 19:27
Саня В.

Вложений: 2

Выполнил что надо. Автостарт и еже с ними включил обратно.:)
15.08.2008, 20:13
Rene-gad

[code]
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZR
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ccEvtMgrShellHWDetection');
BC_Activate;
BC_DeleteSvc('ccEvtMgrShellHWDetection');
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...

Показывать 40 сообщений этой темы на одной странице