Pandex

Printable View

13.08.2008, 19:49
Саня В.

Вложений: 3

Pandex

помогите, пожалуйста.

Помогите, пожалуйста!
Спасибо
13.08.2008, 19:51
Саня В.

Описание таки не добавилось :(
Когда включил комп в субботу было примерно как у моего коллеги по несчастью "Symantec email proxy открывает десятки окошек сначала о том, что сканируются отправляемые сообщения, а потом о том, что отправляемое сообщение похоже на спам и не может быть отправлено.
Симантек ругается, что найден Pandex троян и говорит, что вирус удален и требуется перезагрузка. После перезагрузки все по новой."
Полная проверка системы нашла ещё несколько виусов и вроде поборола их. CureIt тоже чего-то наотыскивал.
Выполнил первые шаги правил. Теперь окно о найденном вирусе не выскакивает. Но если заглянуть в результаты автоматической проверки, написано, что найден Pandex и типа обезврежен. Так же растёт трафик, как входящий так и исходящий.

В екселе или ворде достаточно просто выделить текст, так теперь перед закрытием запрашивает сохранение файла. Стрянно...

Помогите!
13.08.2008, 23:45
V_Bond

выполните скрипт .....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
QuarantineFile('E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL','');
BC_DeleteSvc('xmlprovBITSNetDDEdsdm');
BC_DeleteSvc('WZCSVCHidServ');
BC_DeleteSvc('TlntSvrlanmanworkstation');
BC_DeleteSvc('TlntSvrImapiService');
BC_DeleteSvc('SNDSrvcWudfSvcUMWdf');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvc Hid Service');
BC_DeleteSvc('SNDSrvcWudfSvc');
BC_DeleteSvc('SharedAccessRpcSs');
BC_DeleteSvc('ScheduleShellHWDetection');
BC_DeleteSvc('SavRoamSysmonLog');
BC_DeleteSvc('NetmanSSDPSRV');
BC_DeleteSvc('LmHostsCryptSvc');
BC_DeleteSvc('lanmanserverNetDDEdsdm');
BC_DeleteSvc('helpsvcTrkWks');
BC_DeleteSvc('DVD-RAM_ServiceTrkWks');
BC_DeleteSvc('COMSysAppstisvc');
BC_DeleteSvc('ccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('ccPwdSvcWmiwscsvc');
BC_DeleteSvc('ccPwdSvcWmi');
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_DeleteSvc('BITSNetDDEdsdm');
BC_DeleteSvc('AudioSrvCiSvc');
BC_DeleteSvc('AudioSrv AntiVirus');
QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
14.08.2008, 22:17
Саня В.

Вложений: 3

готово
14.08.2008, 22:47
V_Bond

MyWebSearch - деинсталируйте ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DeleteFile('E:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe');
DeleteFile('E:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
BC_DeleteSvc('WZCSVCHidServ');
BC_DeleteSvc('UPSShellHWDetection');
BC_DeleteSvc('TlntSvrlanmanworkstation');
BC_DeleteSvc('TlntSvrImapiService');
BC_DeleteSvc('SNDSrvcWudfSvcUMWdf');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('SNDSrvcWudfSvc Hid Service');
BC_DeleteSvc('SNDSrvcWudfSvc');
BC_DeleteSvc('SharedAccessRpcSs');
BC_DeleteSvc('ScheduleShellHWDetectionNtmsSvc');
BC_DeleteSvc('ScheduleShellHWDetection');
BC_DeleteSvc('SavRoamSysmonLog');
BC_DeleteSvc('RemoteRegistryxmlprovBITSNetDDEdsdm');
BC_DeleteSvc('ProtectedStorageHTTPFilter');
BC_DeleteSvc('NetmanSSDPSRV');
BC_DeleteSvc('LmHostsCryptSvc');
BC_DeleteSvc('lanmanserverNetDDEdsdm');
BC_DeleteSvc('HTTPFilterScheduleShellHWDetection');
BC_DeleteSvc('helpsvcTrkWks');
BC_DeleteSvc('DVD-RAM_ServiceTrkWks');
BC_DeleteSvc('COMSysAppstisvc');
BC_DeleteSvc('ccSetMgrSNDSrvcWudfSvcccSetMgr');
BC_DeleteSvc('ccPwdSvcWmiwscsvc');
BC_DeleteSvc('ccPwdSvcWmi');
BC_DeleteSvc('BITSNetDDEdsdm');
BC_DeleteSvc('AudioSrvCiSvc');
BC_DeleteSvc('AudioSrv AntiVirus');
QuarantineFile('E:\WINDOWS\system32\SysConfig.dll','');
QuarantineFile('E:\WINDOWS\System32\markfundrv.dll','');
QuarantineFile('E:\WINDOWS\system32\IOInfo.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
14.08.2008, 23:19
Саня В.

Вложений: 1

Я уже пытался.>:(
Погите удалить его:(
14.08.2008, 23:30
Rene-gad

я добавил удаление тулбара в скрипт, Выполняйте.
14.08.2008, 23:48
Саня В.

Прислал. Там 4 файла. Выслал всё в одном... Может что не так?
14.08.2008, 23:51
Rene-gad

Логи повторите , плиз.
15.08.2008, 00:38
Саня В.

Вложений: 3

Пока выкладывал логи (ещё предыдущие) Виндовс накопал где-то обновлений и теперь при выключении компьютера ставит меня перед выбором, применять их или нет. Пока не применял. Применить или подождать?
15.08.2008, 00:42
V_Bond

выполните скрипт ...
[code]
begin
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
обновления конечно ставить
15.08.2008, 00:55
Саня В.

Вложений: 2

Понял Вас. Обновим. А то, что MyWebSearch до сих пор в окне удаления-установки висит - это нормально?
15.08.2008, 01:41
V_Bond

отключите антивирус ....он не дает добить врага
пофиксите
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - E:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL (file missing
O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\
[/code]
выполните скрипт...
[code]
begin
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_DeleteSvc('xmlprovBITSNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
15.08.2008, 09:02
Саня В.

Может я не так Антивирус отключаю?
У меня симантек. В трее не светится. Открываю окошко его через "пуск" вхожу в настройки и по очереди снимаю галочки со всех автоматических проверок.
15.08.2008, 11:17
Rene-gad

[QUOTE=Саня В.;267852]Может я не так Антивирус отключаю?
[/QUOTE]Попробуйте через msconfig: Автостарт - Все отключить, Службы/Службы виндовс не показывать, остальные - отключить.
15.08.2008, 12:45
Саня В.

Спасибо, пробовать смогу только после 19-ти
Я не то чтобы совсем плохой. Но пока не совсем понял, где этот автостарт взять:(
15.08.2008, 12:52
Rene-gad

[QUOTE=Саня В.;267967]
Я не то чтобы совсем плохой.[/QUOTE]Верю :D Пуск/Выполнить... , набрать команду [B]msconfig[/B], откроется панель с карточками. Среди них найдете указанные карточки Автозапуск и Службы.
15.08.2008, 13:31
Саня В.

Спасибо:). До вечера.
15.08.2008, 19:27
Саня В.

Вложений: 2

Выполнил что надо. Автостарт и еже с ними включил обратно.:)
15.08.2008, 20:13
Rene-gad

[code]
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZR
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ccEvtMgrShellHWDetection');
BC_Activate;
BC_DeleteSvc('ccEvtMgrShellHWDetection');
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
15.08.2008, 22:44
Саня В.

Вложений: 2

Ой блин. Не знаю хорошо или плохо, но сынок мешал сильно.

Вышло следующее:
10)пофиксил
20)отключил всё в [B]msconfig[/B]
30)перезагрузил
40)после перезагрузки всплыло, что [B]msconfig[/B] всё ещё не приведён в порядок
50)в автозапуске стояла галочка на ctfmon
60)отключил
70)перезагрузил
60)включил всё обратно
70)не перезагружал (изменения чтоб в силу не вступили)
80)выполнил скрипт
90)перезагрузил
100)после перезагрузки всплыло, что [B]msconfig[/B] всё ещё не приведён в порядок
110)сын мешает понимать
120)собрал сведения в avz
130)уложил сына
140)сетевые подключения отсутствуют.
150)почему-то стояло в Общих на выборочный запуск
160) исправил перезагрузил сделал hijackthis.log

волнует п50 и 150.

Сын мешал очень. Но вробде ничего такого не делал. Потому переживаю.
15.08.2008, 22:51
Rene-gad

Ребенок это ребенок, ПК - железяка, она и подождать может, ИМО.
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ccEvtMgrShellHWDetection');
DeleteService('xmlprovBITSNetDDEdsdm');
DeleteFile('E:\PROGRA~1\MYWEBS~1\bar\2.bin\m3SrchMn.exe');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(9);
executerepair(11);
executerepair(17);
BC_DeleteSvc('ccEvtMgrShellHWDetection');
BC_DeleteSvc('xmlprovBITSNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная спункта 10 правил ...
15.08.2008, 23:26
Саня В.

Вложений: 2

Хочу так же добавить, что E:\PROGRA~1\MYWEBS~1\ я собственноручно удалил ранее. Или опять отсебятина?:(
15.08.2008, 23:39
V_Bond

пуск выполнить sc delete ccEvtMgrShellHWDetection
повторите virusinfo_syscheck.zip
16.08.2008, 00:07
Саня В.

Вложений: 1

после всех операций включил обратно msconfig. Он сказал, что действие выполнено с ошибкой.
16.08.2008, 00:08
V_Bond

что хотели убить - убили .... больше ничего подозрительного ...
16.08.2008, 00:17
Саня В.

Ой спасибо. Проекту обязательно помогу. Есть запчасти почти на любые импортные авто. Итак за копейки отдаю, а для Вас - предельно дёшево. Питер. 8-921-7990454. Светлана поможет.
22.02.2009, 07:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.axh[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]