еще одна машина поймала Pandex, посылаю логи
Снова Pandex
еще одна машина поймала Pandex, посылаю логи
Последний раз редактировалось V_Bond; 13.08.2008 в 14:47. Причина: карантин в теме .... нехорошо ....
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('WZCSVCccEvtMgrSysmonLog'); BC_DeleteSvc('wscsvcRasAuto'); BC_DeleteSvc('wscsvcIDriverTWmiApSrvWmiApSrv'); BC_DeleteSvc('wscsvcIDriverT'); BC_DeleteSvc('wscsvc HotKey Poller'); BC_DeleteSvc('WmiApSrvWmiApSrv'); BC_DeleteSvc('WmiApSrvdmserver'); BC_DeleteSvc('VSSMDMAppMgmtsrservice'); BC_DeleteSvc('VSSMDMAppMgmt'); BC_DeleteSvc('VSSMDM'); BC_DeleteSvc('UPSccEvtMgrSysmonLog'); BC_DeleteSvc('upnphostSCardSvrNtmsSvcseclogon'); BC_DeleteSvc('TermServiceSpooler'); BC_DeleteSvc('TermServiceHTTPFilter'); BC_DeleteSvc('TapiSrvIDriverTSPBBCSvc'); BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageWZCSVC'); BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageSamSs'); BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorageNetman'); BC_DeleteSvc('TapiSrvDcomLaunchProtectedStorage'); BC_DeleteSvc('SysmonLogSCardSvrEventSystemVSS'); BC_DeleteSvc('SysmonLogdmadmin'); BC_DeleteSvc('SymantecAlerter'); BC_DeleteSvc('SwPrvThemes'); BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLogCiSvc'); BC_DeleteSvc('stisvcUPSccEvtMgrSysmonLog'); BC_DeleteSvc('stisvcPolicyAgent'); BC_DeleteSvc('SNDSrvcNtmsSvcIDriverTSPBBCSvc'); BC_DeleteSvc('seclogonAppMgmtBrowser'); BC_DeleteSvc('SCardSvrNtmsSvcseclogon'); BC_DeleteSvc('RHASPEMURDSessMgr'); BC_DeleteSvc('RemoteRegistryProtectedStorage'); BC_DeleteSvc('RemoteAccessdmserver'); BC_DeleteSvc('RDSessMgrVSSMDMAppMgmt'); BC_DeleteSvc('RDSessMgrSpooler'); BC_DeleteSvc('oseSSDPSRV'); BC_DeleteSvc('NtmsSvcTrkWks HotKey Poller'); BC_DeleteSvc('NtmsSvcTrkWks'); BC_DeleteSvc('NtmsSvcseclogon'); BC_DeleteSvc('NtmsSvcIDriverTSPBBCSvc'); BC_DeleteSvc('NtLmSspTapiSrvIDriverTSPBBCSvc'); BC_DeleteSvc('NetDDEUPS'); BC_DeleteSvc('NetDDEdsdmWmiApSrv'); BC_DeleteSvc('lanmanserverRDSessMgrVSSMDMAppMgmt'); BC_DeleteSvc('lanmanserverdmadminSpooler'); BC_DeleteSvc('ImapiServiceThemes'); BC_DeleteSvc('ImapiServiceSamSs'); BC_DeleteSvc('ImapiService Smart'); BC_DeleteSvc('IDriverTSPBBCSvc'); BC_DeleteSvc('IDriverTCryptSvc'); BC_DeleteSvc('HTTPFilterSNDSrvc'); BC_DeleteSvc('helpsvcSysmonLogdmadminSwPrv'); BC_DeleteSvc('helpsvcSysmonLogdmadmin'); BC_DeleteSvc('helpsvcccEvtMgr'); BC_DeleteSvc('EventSystemVSS'); BC_DeleteSvc('EventSystemAlerterSpooler'); BC_DeleteSvc('EventlogVSSMDMAppMgmt'); BC_DeleteSvc('ERSvcW32Time'); BC_DeleteSvc('ERSvcTapiSrv'); BC_DeleteSvc('DnscacheSamSs'); BC_DeleteSvc('dmadminSpooler'); BC_DeleteSvc('DhcpCOMSysAppWZCSVCThemes'); BC_DeleteSvc('DcomLaunchwscsvcIDriverT'); BC_DeleteSvc('DcomLaunchRemoteAccessNla'); BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcSavRoam'); BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvcCryptSvc'); BC_DeleteSvc('DcomLaunchProtectedStorageNtmsSvc'); BC_DeleteSvc('DcomLaunchProtectedStorage AntiVirus'); BC_DeleteSvc('DcomLaunchProtectedStorage'); BC_DeleteSvc('CryptSvcSamSs'); BC_DeleteSvc('COMSysAppWZCSVCThemes'); BC_DeleteSvc('COMSysAppWZCSVC'); BC_DeleteSvc('ClipSrvDefWatch'); BC_DeleteSvc('ccSetMgrAppMgmtBrowser'); BC_DeleteSvc('ccEvtMgrSysmonLog'); BC_DeleteSvc('ccEvtMgrEventSystem'); BC_DeleteSvc('ATISENS'); BC_DeleteSvc('AppMgmtBrowser'); BC_DeleteSvc('ALGwscsvc'); BC_DeleteSvc('AlerterSpooler'); BC_DeleteSvc('AlerterDcomLaunchProtectedStorageNtmsSvcCryptSvc'); BC_DeleteSvc('AlerterAudioSrv'); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('srv.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
повторяю логи
Добавлено через 2 минуты
логи
Последний раз редактировалось tomsv; 13.08.2008 в 16:42. Причина: Добавлено
логи
Обновите версию Хайджека (ссылка в правилах) и базы АВЗ
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe',''); DeleteFile('C:\WINDOWS\Temp\_ISTMP1.DIR\_ISTMP0.DIR\pcp.exe'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axd (DrWEB: BackDoor.Bulknet.206)
Уважаемый(ая) tomsv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
