-
Junior Member
- Вес репутации
- 59
Trojan.Pandex
ОС WindowsXP+SP2
Провайдер отключает от Интернета, если на компьютере обнаружены вирусы.
Антивирус NOD32 не продержался и дня
DrWeb продержался неделю
Сейчас стоит Symantec. При первом включении компьютера Symatec Auto-Protect сразу обнаруживает большое количество сообщений Symantec Proxy E-mail. После перезагрузки Auto-Protect определяет
Troja.Pandex
Action Reboot Required
File name Всегда разный *.sys
Original location C:\Windows\system32\drivers
И так по циклу
С надеждой и уважением
Последний раз редактировалось vppooh; 17.06.2008 в 09:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sysfldr.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll','');
QuarantineFile('C:\WINDOWS\TEMP\load.exe/r','');
QuarantineFile('C:\WINDOWS\TEMP\53140.exe','');
QuarantineFile('C:\WINDOWS\TEMP\53109.exe','');
QuarantineFile('C:\WINDOWS\TEMP\52937.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\1_32bean32_1.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Xej85.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf52.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pvb51.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nty28.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jpu41.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Hns41.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Gmr38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Gmr16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Flq30.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Cin17.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhm41.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Bhm41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Cin17.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Flq30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Gmr16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Gmr38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Hns41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Jpu41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nty28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Pvb51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Taf52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Xej85.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\1_32bean32_1.dll');
DeleteFile('C:\WINDOWS\TEMP\52937.exe');
DeleteFile('C:\WINDOWS\TEMP\53109.exe');
DeleteFile('C:\WINDOWS\TEMP\53140.exe');
DeleteFile('C:\WINDOWS\TEMP\load.exe/r');
DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('sysfldr.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{8D5849A2-93F3-429D-FF34-260A2068897C}');
DeleteService('Xej85');
DeleteService('Cin17');
DeleteService('Bhm41');
DeleteService('Hns41');
DeleteService('Gmr38');
DeleteService('Gmr16');
DeleteService('Flq30');
DeleteService('Jpu41');
DeleteService('Nty28');
DeleteService('Pvb51');
DeleteService('Taf52');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21027
Обновите базы AVZ и повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Trojan.Pandex
Ваши требования выполнены
Новые логи присоединил
Жду дальнейших указаний
Последний раз редактировалось vppooh; 17.06.2008 в 09:40.
-
Ничего зловредного больше не видно.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
-
-
В карантине был WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.ci,sysfldr.dll-Trojan.Win32.Pakes.clw уже удалены.
-
-
Junior Member
- Вес репутации
- 59
Trojan.Pandex
Огромное спасибо!
My best regards and respect to you all
-
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".