При работе из правого нижнего трея выскакивает пузырек: "your computer is infected..." Symantec antivirus обнаруживает Troyan.Pandex, вроде бы удаляет его, но он появляется снова.
Printable View
При работе из правого нижнего трея выскакивает пузырек: "your computer is infected..." Symantec antivirus обнаруживает Troyan.Pandex, вроде бы удаляет его, но он появляется снова.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\win_2.dll','');
DeleteService('Winqw85');
DeleteService('Winpw30');
DeleteService('Winmt30');
DeleteService('Winkq17');
DeleteService('Winhn74');
DeleteService('Winfm85');
DeleteService('Winem06');
DeleteService('Winbi06');
DeleteService('WmiApSrvupnphost');
DeleteService('SerialKeysEventSystem');
DeleteService('PlugPlayRpcSs');
DeleteService('Nla Intelligent Application Manager (IAM)');
DeleteService('InterBaseGuardianRasMan');
DeleteService('ForceWareAudioSrv');
DeleteService('FastUserSwitchingCompatibilityInterBaseServer');
DeleteService('EventlognSvcIp');
QuarantineFile('srv.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
QuarantineFile('c:\5cqy9r.exe','');
DeleteFile('c:\5cqy9r.exe');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Winbi06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winem06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winfm85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhn74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkq17.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmt30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpw30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqw85.sys');
DeleteFile('C:\WINDOWS\system32\win_2.dll');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи
Спасибо за помощь. Пока у меня нет доступа к зараженному компу. Будет 15-16 сентября. Обязательно попробую и вышлю карантин и логи.
Еще раз спасибо. Выполнил скрипт, по первому впечатлению всё пришло в норму. Высылаю карантин и логи.
[COLOR="Magenta"]Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы[/COLOR]
Удалите Spyware Doctor, обновите базы АВЗ, закройте все приложения, выгрузите Антивирус, повторите логи.
По ссылке "прислать запрошенный карантин вверху темы" можно прикрепить только один файл, а в карантине их три. Как быть?
И еще: я не знаю, как архивировать файлы с паролем.
[QUOTE=Andreiko;283905]По ссылке "прислать запрошенный карантин вверху темы" можно прикрепить только один файл, а в карантине их три. Как быть?[/QUOTE]Все по очереди.
[QUOTE=Andreiko;283905]И еще: я не знаю, как архивировать файлы с паролем.[/QUOTE]
Почитайте Мануал или Помощь к Вашему пакеру.
Выслал карантин (если я правильно вас понял). Высылаю логи. Еще раз спасибо огромное.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PlugPlayRpcSs');
DeleteService('NetmanUPS');
DeleteService('Iomega Activity Disk2');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('PlugPlayRpcSs');
BC_DeleteSvc('NetmanUPS');
BC_DeleteSvc('Iomega Activity Disk2');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscheck.zip
hijackthis.log [/CODE].
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Все выполнил. Попытался отправить примерно в 2:00 МСК, получил ответ: "У вас недостаточно прав для открытия этой страницы". Попытаюсь отправить сейчас с другого компа. Если вложения не дойдут - значит опять у меня недосчтаточно прав? А жаль - я как раз собирался вас отблагодарить, отправив денежки, но если у меня на это нет прав - что же делать?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('PlugPlayRpcSs');
BC_DeleteSvc('NetmanUPS');
BC_DeleteSvc('Iomega Activity Disk2');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте повторные логи
[CODE]virusinfo_syscheck.zip
hijackthis.log [/CODE].
- Прикрепите логи к новому сообщению.
[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]
[QUOTE=Andreiko;284151]А жаль - я как раз собирался вас отблагодарить, отправив денежки, но если у меня на это нет прав - что же делать?[/QUOTE]Спасибо :), но денежки можно отправить даже не будучи зарегистрированным на форуме
Не будет ли после выполнения этого скрипта проблем с запуском Iomega-ZIP? Помню, мне стоило больших трудов установить для него драйвер, Windows ругался, что это устройство не сертифицировано под XP, но все-таки как-то установился с третьей попытки.
[QUOTE=Andreiko;284285]Не будет ли после выполнения этого скрипта проблем с запуском Iomega-ZIP?[/QUOTE]Запуск службы Iomega Activity Disk2 осуществляется таким интересным файлом
[CODE].exe[/CODE]
Я не уверен , что он хороший. Под Вашу ответственность можете 2 строчки с Iomega Activity Disk2 убрать из скрипта.
Не знаю, что случилось вчера, но форум упорно не хотел меня авторизовывать. Попробовал общаться по e-mail, но и Яндекс не хотел меня признавать. По совету Яндекса в Internet explorer сделал следующее: Сервис-Свойства обозревателя-конфиденциальность-дополнительно-перекрыть автоматическую обработку файлов cookie. После этого всё заработало. Выполнил ваши рекомендации, посылаю логи. Дошли ли деньги? Еще вопрос: у меня есть сменный жесткий диск, на который скопировано многое из этого компьютера, надеюсь без вирусов, но как знать?. В процессе лечения я его не подключал. Что сделать теперь, чтобы подстраховаться?
если это I:\AUTORUN\AutoRun cd-rom то ничего подозрительного
Нет, это или H: или K: не помню точно.
I:\AUTORUN\AutoRun - что это вам известно ?
При чем тут Autorun? Я хочу спросить, как можно проверить сменный жесткий диск, на который была записана информация и куда могли попасть вредные файлы. Диск подключается через USB.
пытаюсь у вас выяснить что такое диск I:\ что непонятно ?
диск можно проверить антивирусом ....
При чем тут autorun? Я хочу спросить, как можно проверить сменный жесткий диск, на который незадолго до обнаружения вируса была записана информация и туда могли попасть вредные файлы. Диск подключается через USB.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Диск I это CD-ROM.
[QUOTE=Andreiko;284583]как можно проверить сменный жесткий диск, на который незадолго до обнаружения вируса была записана информация и туда могли попасть вредные файлы. [/QUOTE]Любым установленным антивирусом. АВЗ тут не нужен.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]