Показано с 1 по 11 из 11.

Trojan.Pandex (заявка № 26808)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    5
    Вес репутации
    35

    Thumbs up Trojan.Pandex

    Вот что пишет, каждый раз при перезагрузке, Symantek:

    Scan type: Auto-Protect Scan
    Event: Threat Found!
    Threat: Trojan.Pandex
    File: C:\WINDOWS\system32\drivers\Winmr27.sys
    Location: C:\WINDOWS\system32\drivers

    Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
    Date found: 21 июля 2008 г. 12:35:36


    В карантине у симантика полно - Win**88.sys.
    Еще иногда появляется C:\WINDOWS\Temp\BN**.tmp - в запущенных процессах.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Скачайте IceSword , поищите и удалите через опцию force delete файл:
    Код:
    C:\WINDOWS\System32\drivers\Winjp84.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
    O2 - BHO: JavaModule - {1D90D801-EEB9-4220-BF42-A5E9086F506A} - C:\WINDOWS\system32\iHelper.dll (file missing)
    O4 - HKLM\..\RunServices: [Quicktime Mediaplayer] winmplyer32.exe
    O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "D:\tmp\uninstal.exe"
    O4 - HKUS\S-1-5-18\..\RunServices: [Windows Monitor] winmon.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunServices: [Windows Monitor] winmon.exe (User 'Default user')
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{0d2def3a-f4f1-42ec-ac4f-132e7ba6e292}');
     DelBHO('{1D90D801-EEB9-4220-BF42-A5E9086F506A}');
     DeleteService('xeJ51');
     DeleteService('xeI40');
     DeleteService('Winyf27');
     DeleteService('Winye73');
     DeleteService('Winxe38');
     DeleteService('Winvb26');
     DeleteService('Winua16');
     DeleteService('Winty62');
     DeleteService('Winrw38');
     DeleteService('Winqv15');
     DeleteService('Winpv84');
     DeleteService('Winpu26');
     DeleteService('Winou84');
     DeleteService('Winns15');
     DeleteService('Winmr27');
     DeleteService('Winmr16');
     DeleteService('Winlq48');
     DeleteService('Winkp16');
     DeleteService('Winjp72');
     DeleteService('Winjp62');
     DeleteService('Winjo50');
     DeleteService('Winhn05');
     DeleteService('Winhm38');
     DeleteService('Wingl38');
     DeleteService('Winek04');
     DeleteService('Windi72');
     DeleteService('Winch05');
     DeleteService('Winbg40');
     DeleteService('Winbg37');
     DeleteService('wdI73');
     DeleteService('lsX40');
     DeleteService('vcH50');
     QuarantineFile('C:\WINDOWS\system32\muir.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lsX40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\vcH50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\wdI73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg37.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winbg40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winch05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windi72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winek04.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wingl38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winhm38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winhn05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo50.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp62.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winlq48.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr27.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winns15.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winou84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu26.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winpv84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winty62.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winua16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb26.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winxe38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winye73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\xeI40.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\xeJ51.sys','');
     QuarantineFile('C:\WINDOWS\azentretien.dll','');
     QuarantineFile('C:\WINDOWS\system32\iHelper.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winjp84.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winjp84.sys');
     DeleteFile('C:\WINDOWS\system32\iHelper.dll');
     DeleteFile('C:\WINDOWS\azentretien.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\xeJ51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\xeI40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyf27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxe38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvb26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winua16.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winty62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpv84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpu26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winou84.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winns15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr16.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winlq48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhn05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhm38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wingl38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbg40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\wdI73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\vcH50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lsX40.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\muir.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    5
    Вес репутации
    35
    Огромное спасибо за внимание! Все сделано, посмотрим...
    Карантин (от AVZ) отправил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName',' ');
    RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Windows Monitor',' ');
    RebootWindows(true);
    end.
    После перезагрузки сделайте повторные логи начиная от п.10 правил.
    Обновите базы Симантека и просканьте систему - все папки/все файлы.
    Сообщите, что было найдено.

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    5
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Это не нашел..., т.е. нету.

    - Выполните скрипт
    Код:
    begin
    RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName',' ');
    RegKeyDel('HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Windows Monitor',' ');
    RebootWindows(true);
    end.
    Первую строку я уже до этого руками чикнул, но скрипт выполнил
    После перезагрузки сделайте повторные логи начиная от п.10 правил.
    Обновите базы Симантека и просканьте систему - все папки/все файлы.
    Сообщите, что было найдено.
    Ок. Найдено - старая (давно лежачая - наверное, не злая) лошадь, ничего нового.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Нужен новый лог АВЗ virusinfo_syschek.zip, лог Симантека можете удалить

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    5
    Вес репутации
    35
    После перезагрузки сделайте повторные логи начиная от п.10 правил.
    Порядок действий уже нарушен, но все же последний лог ниже.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    запустите АВЗ/Сервис/Системные утилиты/Regedit... навигируйте в папку HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run, удалите вручную ключ Windows Monitor. Больше ничего плохого не вижу. Как работает система?

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2008
    Сообщений
    5
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    удалите вручную ключ Windows Monitor.
    Ok.
    Как работает система?
    Огромное спасибо, вроде, нормально.

    А пошлите меня туда, где можно почитать, по-русски, про всякий ........ , у меня явно куча не нужных мне служб, запущенных процессов. Вот, например, что такое Windows Monitor, CTFMON.EXE,...? Пробовал разного рода авто-оптимизаторы, кончалось все safe mode и откатом на последнюю сохраненную конфигурацию системы.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от zaqwsx73 Посмотреть сообщение
    А пошлите меня туда, где можно почитать, по-русски, про всякий ........ , у меня явно куча не нужных мне служб, запущенных процессов.
    1. Про службы - см. ссылку в моей подписи.
    2. Про безопасный интернет: http://security-advisory.virusinfo.info/
    3. Про все на свете: www.google.ru

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 41
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.v
      2. c:\\windows\\system32\\muir.dll - Trojan-Mailfinder.Win32.Agent.lz (DrWEB: Trojan.EmailSpy.124)


  • Уважаемый(ая) zaqwsx73, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan pandex
      От Сергей Попов в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:51
    2. trojan.pandex, trojan.adclicker, windows validation
      От Galka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:08
    3. Ответов: 2
      Последнее сообщение: 26.05.2008, 04:22
    4. Обнаружил Trojan.Pandex и Trojan Horse
      От IFAX в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.01.2008, 17:21
    5. вирусы Trojan.Pandex и Trojan.Backdoor
      От Анна Евсеева в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.10.2007, 14:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00441 seconds with 17 queries