Trojan.Pandex

[zaqwsx73]

Вот что пишет, каждый раз при перезагрузке, Symantek:

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Trojan.Pandex
File: C:\WINDOWS\system32\drivers\Winmr27.sys
Location: C:\WINDOWS\system32\drivers

Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
Date found: 21 июля 2008 г. 12:35:36


В карантине у симантика полно - Win**88.sys.
Еще иногда появляется C:\WINDOWS\Temp\BN**.tmp - в запущенных процессах.

[Rene-gad]

Скачайте IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS\System32\drivers\Winjp84.sys
C:\WINDOWS\system32\WinCtrl32.dll

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: JavaModule - {1D90D801-EEB9-4220-BF42-A5E9086F506A} - C:\WINDOWS\system32\iHelper.dll (file missing)
O4 - HKLM\..\RunServices: [Quicktime Mediaplayer] winmplyer32.exe
O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "D:\tmp\uninstal.exe"
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Monitor] winmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Monitor] winmon.exe (User 'Default user')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{0d2def3a-f4f1-42ec-ac4f-132e7ba6e292}');
 DelBHO('{1D90D801-EEB9-4220-BF42-A5E9086F506A}');
 DeleteService('xeJ51');
 DeleteService('xeI40');
 DeleteService('Winyf27');
 DeleteService('Winye73');
 DeleteService('Winxe38');
 DeleteService('Winvb26');
 DeleteService('Winua16');
 DeleteService('Winty62');
 DeleteService('Winrw38');
 DeleteService('Winqv15');
 DeleteService('Winpv84');
 DeleteService('Winpu26');
 DeleteService('Winou84');
 DeleteService('Winns15');
 DeleteService('Winmr27');
 DeleteService('Winmr16');
 DeleteService('Winlq48');
 DeleteService('Winkp16');
 DeleteService('Winjp72');
 DeleteService('Winjp62');
 DeleteService('Winjo50');
 DeleteService('Winhn05');
 DeleteService('Winhm38');
 DeleteService('Wingl38');
 DeleteService('Winek04');
 DeleteService('Windi72');
 DeleteService('Winch05');
 DeleteService('Winbg40');
 DeleteService('Winbg37');
 DeleteService('wdI73');
 DeleteService('lsX40');
 DeleteService('vcH50');
 QuarantineFile('C:\WINDOWS\system32\muir.dll','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\lsX40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\vcH50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\wdI73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg37.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winbg40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winch05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windi72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek04.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Wingl38.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winhm38.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winhn05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo50.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp72.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp16.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winlq48.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winmr16.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winmr27.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winns15.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winou84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu26.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winpv84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw38.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winty62.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winua16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb26.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winxe38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winye73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xeI40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xeJ51.sys','');
 QuarantineFile('C:\WINDOWS\azentretien.dll','');
 QuarantineFile('C:\WINDOWS\system32\iHelper.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winjp84.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\Winjp84.sys');
 DeleteFile('C:\WINDOWS\system32\iHelper.dll');
 DeleteFile('C:\WINDOWS\azentretien.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\xeJ51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\xeI40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye73.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winxe38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb26.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winua16.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winty62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqv15.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winpv84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpu26.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winou84.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winns15.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winmr27.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winmr16.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winlq48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo50.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winhn05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winhm38.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Wingl38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windi72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winch05.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winbg40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\wdI73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\vcH50.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\lsX40.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\muir.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[zaqwsx73]

Огромное спасибо за внимание! Все сделано, посмотрим...
Карантин (от AVZ) отправил.

[Rene-gad]

-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

- Выполните скрипт

Код:

begin
RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Windows Monitor',' ');
RebootWindows(true);
end.

После перезагрузки сделайте повторные логи начиная от п.10 правил.
Обновите базы Симантека и просканьте систему - все папки/все файлы.
Сообщите, что было найдено.

[zaqwsx73]

-Пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Это не нашел..., т.е. нету.

- Выполните скрипт

Код:

begin
RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName',' ');
RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Windows Monitor',' ');
RebootWindows(true);
end.

Первую строку я уже до этого руками чикнул, но скрипт выполнил

После перезагрузки сделайте повторные логи начиная от п.10 правил.
Обновите базы Симантека и просканьте систему - все папки/все файлы.
Сообщите, что было найдено.

Ок. Найдено - старая (давно лежачая - наверное, не злая) лошадь, ничего нового.

[Rene-gad]

Нужен новый лог АВЗ virusinfo_syschek.zip, лог Симантека можете удалить

[zaqwsx73]

После перезагрузки сделайте повторные логи начиная от п.10 правил.

Порядок действий уже нарушен, но все же последний лог ниже.

[Rene-gad]

запустите АВЗ/Сервис/Системные утилиты/Regedit... навигируйте в папку HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run, удалите вручную ключ Windows Monitor. Больше ничего плохого не вижу. Как работает система?

[zaqwsx73]

удалите вручную ключ Windows Monitor.

Ok.

Как работает система?

Огромное спасибо, вроде, нормально.

А пошлите меня туда, где можно почитать, по-русски, про всякий ........ , у меня явно куча не нужных мне служб, запущенных процессов. Вот, например, что такое Windows Monitor, CTFMON.EXE,...? Пробовал разного рода авто-оптимизаторы, кончалось все safe mode и откатом на последнюю сохраненную конфигурацию системы.

[Rene-gad]

А пошлите меня туда, где можно почитать, по-русски, про всякий ........ , у меня явно куча не нужных мне служб, запущенных процессов.

1. Про службы - см. ссылку в моей подписи.
2. Про безопасный интернет: http://security-advisory.virusinfo.info/
3. Про все на свете: www.google.ru

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 41
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.v
  2. c:\\windows\\system32\\muir.dll - Trojan-Mailfinder.Win32.Agent.lz (DrWEB: Trojan.EmailSpy.124)