Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Pandex или Backdoor троян или ваще все что угодно (заявка № 21195)

  1. #1
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36

    Thumbs up Pandex или Backdoor троян или ваще все что угодно

    Здраствуйте, обращаюсь к вам в первый раз.

    Суть проблемы, на компе с вин2К, втянутый в домен, и с корпоративным самантеком, появились по жалобам пользователя всякие глюки. Каждые несколько минут возникало сообщение самантека на инфецированный файл, которого на самом деле не существовало, при этом он ругался то на Пандекс, троян, то потом на Бакдоор, в процессе получения логов, стал ругатся еще на что-то. Что характерно сразу после загрузки винды, курсор мыши начинал постоянно и неприятно мигать курсосом с песочными часами.
    Все нужные файлы прилагаются. Очень прошу помочь, ибо саматек пробему не решает, а утилита доктор веба, даже не запускается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Для статистики сообщите: версия Симантека программы и сканера, а также версия баз.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    У Вас версия AVZ 4.29 - старая, скачайте новую 4.30. Отключите восстановление системы, как написано в правилах. Отключите антивирус перед выполнением скрипта.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINNT\system32\yofv232.exe','');
    QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
    QuarantineFile('C:\WINNT\system32\WLCtrl32.dll','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINNT\aromis.exe','');
    QuarantineFile('C:\WINNT\TEMP\27C4.tmp.exe','');
    QuarantineFile('C:\S87ekhV.exe','');
    QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
    QuarantineFile('C:\Documents and Settings\Default User\cftmon.exe','');
    QuarantineFile('C:\WINNT\System32\Drivers\Oyt60.sys','');
    QuarantineFile('C:\WINNT\System32\Drivers\Dnd22.sys','');
    QuarantineFile('C:\Documents and Settings\emitichkina.CAMPUS.001\ie_updates3r.exe','');
    QuarantineFile('C:\WINNT\system32\wjcstd32.dll','');
    QuarantineFile('C:\WINNT\system32\drivers\spools.exe','');
    QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
    QuarantineFile('c:\autoex.dll','');
    QuarantineFile('c:\winnt\system32\drivers\spools.exe','');
    DeleteFile('c:\autoex.dll');
    DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
    DeleteFile('C:\WINNT\system32\wjcstd32.dll');
    DeleteFile('C:\Documents and Settings\emitichkina.CAMPUS.001\ie_updates3r.exe');
    DeleteFile('C:\WINNT\System32\Drivers\Dnd22.sys');
    DeleteFile('C:\WINNT\System32\Drivers\Oyt60.sys');
    DeleteFile('C:\S87ekhV.exe');
    DeleteFile('C:\WINNT\TEMP\27C4.tmp.exe');
    DeleteFile('C:\WINNT\aromis.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('C:\WINNT\System32\WLCtrl32.dll');
    DeleteFile('C:\WINNT\system32\drivers\spools.exe');
    DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
    DelBHO('{3348D07C-7C5C-D2C4-CFBA-A47F82347C8B}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Oyt60');
    BC_DeleteSvc('Dnd22');
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('Google Online Services');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Последний раз редактировалось kps; 08.04.2008 в 11:35.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Цитата Сообщение от PavelA Посмотреть сообщение
    Для статистики сообщите: версия Симантека программы и сканера, а также версия баз.
    версия самантека Full version 10.1.5.5000
    сканера 71.4.0.15
    баз 07.04.2008 rev 2

    Цитата Сообщение от kps Посмотреть сообщение
    Отключите восстановление системы, как написано в правилах.
    у вас в факе написанно про ХП, МЕ. По 2К, нету, а там механизм судя по всему отличается от выше перечисленных.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Отключите антивирус, выполните скрипт выше в новой версии AVZ 4.30 (если еще не выполнили) и пришлите карантин.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Для Win2k отключение восстановления системы не предусмотрено - пропустите этот шаг.
    I am not young enough to know everything...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Ядро Симантека только старое, а так все актуальное. Не должен он такое пропускать, видать Ваши системщики плоховато его настроили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    эээ, после выполнения скрипта, и перезагрузки, у меня теперь вобще никакие приложения не открываются, в том числе и AVZ. Только эксплорер стартует, на все остальное ругается, что не может найти файл, который я собно запускаю

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Скопируйте нижеприведенный код в текстовый файл с расширением .inf
    Код:
    [Version]
    Signature="$Chicago$"
    Provider=Symantec
    
    [DefaultInstall]
    AddReg=UnhookRegKey
    
    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
    HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
    На больной машине нажмите этот файл правой кнопкой и выберите "Установить".
    Запуск программ должен нормализоваться.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Ок, карантин загрузил, сейчас сделаю новые логи

  12. #11
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Вот новые.
    При работе их получения, самантек выругался один раз на бекдор
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Из Вашего карантина -
    C:\WINNT\system32\yofv232.exe - Trojan.Win32.BHO.bgf
    C:\WINNT\system32\WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.ci
    C:\WINNT\aromis.exe - Email-Worm.Win32.Zhelatin.ww
    C:\Documents and Settings\Администратор\cftmon.exe - Worm.Win32.Socks.au
    C:\Documents and Settings\Default User\cftmon.exe - Worm.Win32.Socks.au
    C:\WINNT\system32\wjcstd32.dll - Trojan.Win32.BHO.bgf
    C:\WINNT\system32\drivers\spools.exe - Worm.Win32.Socks.au
    C:\Documents and Settings\All Users\Документы\Settings\partnership.dll - Trojan-Proxy.Win32.Xorpix.ds
    c:\autoex.dll - not-a-virus:AdWare.Win32.BHO.ajq
    Большинство удалено, что осталось удалим, но сначала проверим еще кое-что, а после того как пришлете еще один карантин, удалим всю оставшуюся гадость сразу.

    Отключите антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINNT\Installer\{ECE0113B-23D0-4DD8-89E6-D2F026CABF03}\ACDSeeDesktopShortcu_ECE0113B23D04DD889E6D2F026CABF03.exe','');
    QuarantineFile('C:\WINNT\Installer\240fb.msi','');
    QuarantineFile('C:\WINNT\msiutil.exe','');
    QuarantineFile('sglfb.sys','');
    QuarantineFile('deckzpsx.sys','');
    QuarantineFile('C:\WINNT\system32\msdvdr.pif','');
    QuarantineFile('C:\Documents and Settings\emitichkina.CAMPUS.001\cftmon.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Спасибо ребят! Рабочий день уже кончается, тогда уж завтра добью заразу =)
    Всем ОГРОМНОЕ спасибо за участие.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Только сами лучше не добивайте, а с помощью наших скриптов (когда пришлете карантин после скрипта из поста номер 12 - я напишу скрипт для удаления оставшейся заразы).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Выполнил скрипт-отправил карантин. Самантек все еще ругается на какие-то вирусы, говоря, что все удалил.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Отключите антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('c:\docume~1\emitic~1.001\locals~1\temp\1db9.tmp');
    DeleteFile('c:\documents and settings\emitichkina.campus.001\cftmon.exe');
    DeleteFile('C:\WINNT\system32\msdvdr.pif');
    DeleteFile('C:\WINNT\system32\msdvdr.sys');
    DeleteFile('C:\Documents and Settings\Default User\cftmon.exe');
    DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
    DeleteFile('C:\WINNT\system32\drivers\spools.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('msdvdDrv');
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    Последний раз редактировалось kps; 09.04.2008 в 12:57. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  18. #17
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Не могу выложить третий логк, ибо утилита HijackThis перестала запускаться.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Неудивительно, что не запускается, у Вас столько гадости наплодилось.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Отключите антивирус, очистите временные папки Temp и кеш интернета.
    Затем выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('R:\autorun.inf','');
    QuarantineFile('C:\WINNT\system32\kwpm.dll','');
    QuarantineFile('C:\WINNT\system32\624855\624855.dll','');
    QuarantineFile('C:\WINNT\system32\ccmsetup\ccmsetup.exe','');
    QuarantineFile('C:\WINNT\winself.exe','');
    QuarantineFile('C:\WINNT\system32\wmsdkns.exe','');
    QuarantineFile('C:\WINNT\system32\ddacfcedbfd.dll','');
    QuarantineFile('c:\winnt\system32\wmsdkns.exe','');
    QuarantineFile('c:\winnt\winself.exe','');
    DeleteFile('C:\WINNT\msiutil.exe');
    DeleteFile('C:\WINNT\system32\ddacfcedbfd.dll');
    DeleteFile('C:\WINNT\system32\wmsdkns.exe');
    DeleteFile('C:\WINNT\winself.exe');
    DeleteFile('Rrw54.sys');
    DeleteFile('C:\WINNT\system32\DRIVERS\Rrw54.sys');
    DeleteFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\load2.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('C:\WINNT\system32\WLCtrl32.dll');
    DeleteFile('C:\WINNT\system32\624855\624855.dll');
    DeleteFile('C:\WINNT\system32\kwpm.dll');
    DeleteFile('C:\WINNT\system32\yofv232.exe');
    DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
    DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
    DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
    DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
    DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
    DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
    DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
    DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
    DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
    DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
    DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
    DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
    DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
    DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
    DelBHO('{0E9A703A-D3D3-4663-9DDB-8558A4EB46AB}');
    DelBHO('{03C59006-FF31-11DC-A920-7C3956D89593}');
    DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Rrw54');
    BC_DeleteSvc('MSSysInterv');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).

    Сделайте новые логи.
    Последний раз редактировалось kps; 09.04.2008 в 20:37. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    04.04.2008
    Сообщений
    19
    Вес репутации
    36
    Все сделал, отправил.
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Уже стало гораздо лучше.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINNT\Installer\240fb.msi','');
    QuarantineFile('R:\media.exe','');
    QuarantineFile('C:\WINNT\msiutil.exe','');
    QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
    QuarantineFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\7E8A.tmp.exe','');
    QuarantineFile('C:\WINNT\System32\Drivers\Qlq00.sys','');
    DeleteFile('C:\WINNT\System32\Drivers\Qlq00.sys');
    DeleteFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\7E8A.tmp.exe');
    DeleteFile('C:\WINNT\msiutil.exe');
    DelCLSID('Microsoft Windows Visual V2.0');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Qlq00');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин.

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: partnershipreg - C:\WINNT\  
    O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\
    Сделайте новые логи.

    Вот это Вам знакомо?
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = campus.muh.ru
    Последний раз редактировалось kps; 10.04.2008 в 10:36. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) Reef, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Троян Trojan.Pandex
      От sam0480 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:28
    2. Прошу помощи троян Pandex
      От foboss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:39
    3. Не могу удалить троян Pandex!
      От alubavin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:32
    4. Pandex троян
      От Olli в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:08
    5. Троян Mutant\Horse\Pandex
      От mitiay в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00729 seconds with 17 queries