И снова PANDEX

[tomsv]

поймали пандекс.
Посылаю логи, сделанные AVZ и Hijackthis,хелп, плиз.
Заодно хотелось бы немного понять логику составления этих скриптов против пандекса, если не трудно, объясните(в принципе я понял, что скрипт можно создавать с поощью HTML, образующегося в результате работы AVZ). Просто чувствую, я с пандексом еще столкнусь.

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteService('Winxd84');
 DeleteService('Winvb51');
 DeleteService('Winua62');
 DeleteService('Winta51');
 DeleteService('Winta05');
 DeleteService('Winrw27');
 DeleteService('Winqv84');
 DeleteService('Winqv05');
 DeleteService('Winns73');
 DeleteService('Winns51');
 DeleteService('Winns05');
 DeleteService('Winfk73');
 DeleteService('Winfk27');
 DeleteService('Winej72');
 DeleteService('Windj51');
 DeleteService('Winaf40');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winaf40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfk27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfk73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqv05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqv84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winta05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winua62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxd84.sys');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ....

[tomsv]

повторяю логи после скрипта

[tomsv]

Да, и еще вопрос про pandex: его какой-нибудь антивирус вообще корректно отлавливает? и можно ли в ближайшее время ожидать каких-то обновлений AVZ, которые будут его выщёлкивать?

[V_Bond]

пофиксите...

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winns73');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

сделайте полный комплект логов ...(их должно быть 3)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.awg (DrWEB: Trojan.MulDrop.1827