Trojan.Pandex
ОС WindowsXP+SP2
Провайдер отключает от Интернета, если на компьютере обнаружены вирусы.
Антивирус NOD32 не продержался и дня
DrWeb продержался неделю
Сейчас стоит Symantec. При первом включении компьютера Symatec Auto-Protect сразу обнаруживает большое количество сообщений Symantec Proxy E-mail. После перезагрузки Auto-Protect определяет
Troja.Pandex
Action Reboot Required
File name Всегда разный *.sys
Original location C:\Windows\system32\drivers
И так по циклу
С надеждой и уважением
Последний раз редактировалось vppooh; 17.06.2008 в 09:40.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('sysfldr.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ldfjksdhejf.dll',''); QuarantineFile('C:\WINDOWS\TEMP\load.exe/r',''); QuarantineFile('C:\WINDOWS\TEMP\53140.exe',''); QuarantineFile('C:\WINDOWS\TEMP\53109.exe',''); QuarantineFile('C:\WINDOWS\TEMP\52937.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\1_32bean32_1.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Xej85.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Taf52.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Pvb51.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Nty28.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Jpu41.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Hns41.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Gmr38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Gmr16.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Flq30.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Cin17.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Bhm41.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Bhm41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Cin17.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Flq30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Gmr16.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Gmr38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Hns41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Jpu41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Nty28.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Pvb51.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Taf52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Xej85.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\1_32bean32_1.dll'); DeleteFile('C:\WINDOWS\TEMP\52937.exe'); DeleteFile('C:\WINDOWS\TEMP\53109.exe'); DeleteFile('C:\WINDOWS\TEMP\53140.exe'); DeleteFile('C:\WINDOWS\TEMP\load.exe/r'); DeleteFile('C:\WINDOWS\system32\ldfjksdhejf.dll'); DeleteFile('WLCtrl32.dll'); DeleteFile('sysfldr.dll'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{8D5849A2-93F3-429D-FF34-260A2068897C}'); DeleteService('Xej85'); DeleteService('Cin17'); DeleteService('Bhm41'); DeleteService('Hns41'); DeleteService('Gmr38'); DeleteService('Gmr16'); DeleteService('Flq30'); DeleteService('Jpu41'); DeleteService('Nty28'); DeleteService('Pvb51'); DeleteService('Taf52'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21027
Обновите базы AVZ и повторите логи.
Ваши требования выполнены
Новые логи присоединил
Жду дальнейших указаний
Последний раз редактировалось vppooh; 17.06.2008 в 09:40.
Ничего зловредного больше не видно.
Пофиксите в HijackThis:
Рекомендуется отключить все что вам не нужно из этого списка:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\ O20 - Winlogon Notify: sysfldr - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
В карантине был WLCtrl32.dll-Trojan-Downloader.Win32.Mutant.ci,sysfldr.dll-Trojan.Win32.Pakes.clw уже удалены.
Огромное спасибо!
My best regards and respect to you all
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Уважаемый(ая) vppooh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
