Trojan.Pandex!inf

**leo37** · 03.06.2007, 10:41

Добрый день !!!
У меня Laptop HP ze 4949.
На компе Symantec Corporate ver.8.00.9374 с обновлёнными базами + Outpost Firewall Pro ver. 2.7.485.5401 (412)
Сразу же при загрузке ( Win XP pro SP2) , антивирус выдаёт сообщение :

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Trojan.Pandex!inf
File: C:\WINDOWS\system32\winlogon.exe
Location: C:\WINDOWS\system32
Computer: LEO37
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Sun Jun 03 09:18:52 2007

Сканирование проводилось в безопасном режиме .
Буду благодарен вашей помощи !!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 03.06.2007, 11:00

1. У вас есть дистрибутив windows ? или хотя бы оригинальная копия winlogon.exe ?

2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\inetloader.dll','');
 QuarantineFile('C:\WINDOWS\system32\adsldpb.dll','');
 QuarantineFile('C:\WINDOWS\system32\cscra.exe','');
 QuarantineFile('C:\WINDOWS\cscra.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 DeleteFile('C:\WINDOWS\inetloader.dll');
 DeleteFile('C:\WINDOWS\cscra.exe');
 DeleteFile('C:\WINDOWS\system32\cscra.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

3.Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10143........

4.Сделать все новые логи в нормальном режиме
по правилам и прикрепите к теме + файл boot_clr.log из папки AVZ.

**leo37** · 03.06.2007, 12:31

После выполнения скрипта ( в безопасном режиме т.к. в обычном AVZ зависал ) и сканирования в нормальном режиме с выполнением скрипта Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" с последующей перезагрузкой , на старте получаю сообщение :
The system has recovered from a serious error.
В информации об ошибке вот это :
BCCode : c2 BCP1 : 00000007 BCP2 : 00000CD4 BCP3 : 430C0704
BCP4 : E52D6EE9 OSVer : 5_1_2600 SP : 2_0 Product : 256_1
В технической инфе это :
C:\DOCUME~1\leonid\LOCALS~1\Temp\WERba6f.dir00\Min i060307-01.dmp
C:\DOCUME~1\leonid\LOCALS~1\Temp\WERba6f.dir00\sys data.xml

Пишу это пока не закрываю это сообщение о ошибке , если его закрыть то вылетаю из винды с синим экраном .

**drongo** · 03.06.2007, 12:54

Мда, глубоко вы попали с симантеком

Я так не получил ответа от вас , что с диском хП есть или нет ?
консоль восстановления инсталлирована хотя бы ?

http://support.microsoft.com/kb/307654/ru

**leo37** · 03.06.2007, 13:05

Диск есть и консоль установлена

**drongo** · 03.06.2007, 13:14

Сообщение от leo37

Диск есть и консоль установлена

Сначала я бы при загрузке винды загрузился в консоль восстановления. Она сама проверит диск на ошибки. Если нет, можно там в командной строке выполнит вот это :

Код:

    Chkdsk /r

И заменить winlogon выполнив :

Код:

copy D:\1386\winlogon.ex_ C:\windows\system32\winlogon.exe /y

Где D: - ваш СД диск , заменить букву на вашу перед исполнением и вставить диск с XP в подставку для кофе
Перегрузиться .

P.S. http://support.microsoft.com/kb/307654/ru Почитайте , полезная справка .
Если не получиться с диска , можно winlogon.exe скопировать на сам диск c и по аналогии

**leo37** · 03.06.2007, 13:21

Не понял причём тут симантек , он ведь трояна обнаружил . А такая фишка вышла после героической работы AVZа

**leo37** · 03.06.2007, 13:24

Пока спасибо ...
Отключаюсь , чтобы поколдавать.....

**drongo** · 03.06.2007, 13:30

"Махзик эцбаот " , то есть "Да прибудет с вами сила шаманов "

**drongo** · 03.06.2007, 13:40

winlogon был изменён 26/04/2007 6:36:06 PM - а сегодня уже 3 июня - не смешите мои тапки - проснулся через( месяц и неделя )и ничего сделать не может, а ещё говорили первое место по лечению

А о самом главном зловреде в вашей системе он молчит, даже не детектит . Я говорю о очень вредном runtime2.sys возможно ещё есть его друг runtime.sys .

**leo37** · 04.06.2007, 14:22

Диск отсканировал из консоли . Длилось это часа 3 , но в сводке никаких ошибок . И заменил winlogon . Чичас вроде работает , т.е. как раньше симантек не кричит каждую минуту, что winlogon заражён (это и понятно), вопрос что будет дальше . Кстати это у меня уже не первый раз . Было как то пару месяцев назад , я так же восстанавливал winlogon и чистил комп , но гдето эта гадость встаки сидит.
תודה

**drongo** · 04.06.2007, 15:24

Cделайте все 3 лога в нормальном режиме по правилам, вполне возможно что-то осталось

Сами признались, что не первый раз

Симантеку чёрную метку я уже давно дал по этому поводу, он начинает видеть поздно.

По классификации Kaspersky:
winlogon.exe = Trojan.Win32.Patched.m
runtime2.sys =Rootkit.Win32.Agent.ey

**CyberHelper** · 22.02.2009, 01:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 14
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: BackDoor.Bulknet)
2. c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.m (DrWEB: Trojan.Starter.236)

Trojan.Pandex!inf (заявка № 10143)

Опции темы

Trojan.Pandex!inf

Итог лечения

Похожие темы

Trojan pandex

trojan.pandex, trojan.adclicker, windows validation

Trojan.Pandex & Backdoor.Trojan после посещения Одноклассники.ру

Обнаружил Trojan.Pandex и Trojan Horse

вирусы Trojan.Pandex и Trojan.Backdoor

Ваши права в разделе