Показано с 1 по 6 из 6.

Снова Pandex (заявка № 28024)

  1. #1
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    10
    Вес репутации
    35

    Exclamation Снова Pandex

    еще одна машина поймала Pandex, посылаю логи
    Вложения Вложения
    Последний раз редактировалось V_Bond; 13.08.2008 в 13:47. Причина: карантин в теме .... нехорошо ....

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('WZCSVCccEvtMgrSysmonLog');
     BC_DeleteSvc('wscsvcRasAuto');
     BC_DeleteSvc('wscsvcIDriverTWmiApSrvWmiApSrv');
     BC_DeleteSvc('wscsvcIDriverT');
     BC_DeleteSvc('wscsvc HotKey Poller');
     BC_DeleteSvc('WmiApSrvWmiApSrv');
     BC_DeleteSvc('WmiApSrvdmserver');
     BC_DeleteSvc('VSSMDMAppMgmtsrservice');
     BC_DeleteSvc('VSSMDMAppMgmt');
     BC_DeleteSvc('VSSMDM');
     BC_DeleteSvc('UPSccEvtMgrSysmonLog');
     BC_DeleteSvc('upnphostSCardSvrNtmsSvcseclogon');
     BC_DeleteSvc('TermServiceSpooler');
     BC_DeleteSvc('TermServiceHTTPFilter');
     BC_DeleteSvc('TapiSrvIDriverTSPBBCSvc');
     BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageWZCSVC');
     BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageSamSs');
     BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageNetman');
     BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorage');
     BC_DeleteSvc('SysmonLogSCardSvrEventSystemVSS');
     BC_DeleteSvc('SysmonLogdmadmin');
     BC_DeleteSvc('SymantecAlerter');
     BC_DeleteSvc('SwPrvThemes');
     BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLogCiSvc');
     BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLog');
     BC_DeleteSvc('stisvcPolicyAgent');
     BC_DeleteSvc('SNDSrvcNtmsSvcIDriverTSPBBCSvc');
     BC_DeleteSvc('seclogonAppMgmtBrowser');
     BC_DeleteSvc('SCardSvrNtmsSvcseclogon');
     BC_DeleteSvc('RHASPEMURDSessMgr');
     BC_DeleteSvc('RemoteRegistryProtectedStorage');
     BC_DeleteSvc('RemoteAccessdmserver');
     BC_DeleteSvc('RDSessMgrVSSMDMAppMgmt');
     BC_DeleteSvc('RDSessMgrSpooler');
     BC_DeleteSvc('oseSSDPSRV');
     BC_DeleteSvc('NtmsSvcTrkWks HotKey Poller');
     BC_DeleteSvc('NtmsSvcTrkWks');
     BC_DeleteSvc('NtmsSvcseclogon');
     BC_DeleteSvc('NtmsSvcIDriverTSPBBCSvc');
     BC_DeleteSvc('NtLmSspTapiSrvIDriverTSPBBCSvc');
     BC_DeleteSvc('NetDDEUPS');
     BC_DeleteSvc('NetDDEdsdmWmiApSrv');
     BC_DeleteSvc('lanmanserverRDSessMgrVSSMDMAppMgmt');
     BC_DeleteSvc('lanmanserverdmadminSpooler');
     BC_DeleteSvc('ImapiServiceThemes');
     BC_DeleteSvc('ImapiServiceSamSs');
     BC_DeleteSvc('ImapiService Smart');
     BC_DeleteSvc('IDriverTSPBBCSvc');
     BC_DeleteSvc('IDriverTCryptSvc');
     BC_DeleteSvc('HTTPFilterSNDSrvc');
     BC_DeleteSvc('helpsvcSysmonLogdmadminSwPrv');
     BC_DeleteSvc('helpsvcSysmonLogdmadmin');
     BC_DeleteSvc('helpsvcccEvtMgr');
     BC_DeleteSvc('EventSystemVSS');
     BC_DeleteSvc('EventSystemAlerterSpooler');
     BC_DeleteSvc('EventlogVSSMDMAppMgmt');
     BC_DeleteSvc('ERSvcW32Time');
     BC_DeleteSvc('ERSvcTapiSrv');
     BC_DeleteSvc('DnscacheSamSs');
     BC_DeleteSvc('dmadminSpooler');
     BC_DeleteSvc('DhcpCOMSysAppWZCSVCThemes');
     BC_DeleteSvc('DcomLaunchwscsvcIDriverT');
     BC_DeleteSvc('DcomLaunchRemoteAccessNla');
     BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcSavRoam');
     BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcCryptSvc');
     BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvc');
     BC_DeleteSvc('DcomLaunchProtectedStorage AntiVirus');
     BC_DeleteSvc('DcomLaunchProtectedStorage');
     BC_DeleteSvc('CryptSvcSamSs');
     BC_DeleteSvc('COMSysAppWZCSVCThemes');
     BC_DeleteSvc('COMSysAppWZCSVC');
     BC_DeleteSvc('ClipSrvDefWatch');
     BC_DeleteSvc('ccSetMgrAppMgmtBrowser');
     BC_DeleteSvc('ccEvtMgrSysmonLog');
     BC_DeleteSvc('ccEvtMgrEventSystem');
     BC_DeleteSvc('ATISENS');
     BC_DeleteSvc('AppMgmtBrowser');
     BC_DeleteSvc('ALGwscsvc');
     BC_DeleteSvc('AlerterSpooler');
     BC_DeleteSvc('AlerterDcomLaunchProtectedStorageNtmsSvcCryptSvc');
     BC_DeleteSvc('AlerterAudioSrv');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('srv.exe');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    10
    Вес репутации
    35
    повторяю логи

    Добавлено через 2 минуты

    логи
    Последний раз редактировалось tomsv; 13.08.2008 в 15:42. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    11.08.2008
    Сообщений
    10
    Вес репутации
    35
    логи
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Обновите версию Хайджека (ссылка в правилах) и базы АВЗ

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe','');
     DeleteFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axd (DrWEB: BackDoor.Bulknet.206)


  • Уважаемый(ая) tomsv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.02.2010, 18:18
    2. Ответов: 1
      Последнее сообщение: 27.10.2009, 10:59
    3. И снова PANDEX
      От tomsv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:02
    4. Pandex
      От KPY в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.07.2008, 12:55
    5. Ответов: 10
      Последнее сообщение: 17.08.2007, 10:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00057 seconds with 17 queries