Показано с 1 по 8 из 8.

Trojan.Pandex + Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64 (заявка № 28229)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    35

    Thumbs up Trojan.Pandex + Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64

    Добрый день.

    На рабочем столе появилась красно-белая заставка с надписью: Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.

    Warning! Win32/Adware.Virtumonde Detected on your computer - Danger!

    Warning! Win32/PrivacyRemover.M64 Detected on your computer - Danger!

    Please activate your antivirus software to Clean your computer

    2. Symantec обнаружил Trojan.Pandex и просит перезагрузить компьютер. После перезагрузки опять ловит вирус и просит перезагрузить компьютер. Далее по кругу.

    Вирус Trojan.Pandex раз в несколько минут рассылает спам с моей машины. Пробовал сканировать с помощью CureIt, Spyware Doctor, AVZ - эти программы вирус не обнаруживают.

    Прочитал, что для этого вируса нужно индивидуальное лечение. Прикладываю необходимые файлы. Подскажите, пожалуйста, пути решения проблемы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключитесь от сети, отключите восстановление системы, антивирусные мониторы (видны Simantec и Spyware doctor - отключите оба) и файерволл (у вас виден Outpost - его, на время выполнения скрипта, следует не просто перевести в режим разрешения, но отключить)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\lphcr42j0eler.exe');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphcr42j0eler.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphcr42j0eler.scr','');
     QuarantineFile('c:\windows\system32\lphcr42j0eler.exe','');
     QuarantineFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf17.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\LIBBZ2.dll','');
     DelWinlogonNotifyByFileName('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyf17.sys');
     DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
     BC_DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
     DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
     BC_DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
     DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
     BC_DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
     DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
     BC_DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
     DeleteService('Winyf17');
     DeleteService('VSSALG');
     DeleteService('stisvcRpcSs');
     DeleteService('SquidNTHidServ');
     DeleteService('VSSDcomLaunch');
     DeleteService('ScheduleCiSvc');
     DeleteService('ProtectedStorageERSvc');
     DeleteService('NlaEventSystem');
     DeleteService('mnmsrvcEventlog');
     DeleteService('Appleclr_optimization_v2.0.50727_32');
     DeleteService('DcomLaunchMSDTC');
     DeleteService('dmserverPlugPlay');
     DeleteService('DefWatchaspnet_state');
     BC_DeleteSVC('Winyf17');
     BC_DeleteSVC('VSSALG');
     BC_DeleteSVC('stisvcRpcSs');
     BC_DeleteSVC('SquidNTHidServ');
     BC_DeleteSVC('VSSDcomLaunch');
     BC_DeleteSVC('ScheduleCiSvc');
     BC_DeleteSVC('ProtectedStorageERSvc');
     BC_DeleteSVC('NlaEventSystem');
     BC_DeleteSVC('mnmsrvcEventlog');
     BC_DeleteSVC('Appleclr_optimization_v2.0.50727_32');
     BC_DeleteSVC('DcomLaunchMSDTC');
     BC_DeleteSVC('dmserverPlugPlay');
     BC_DeleteSVC('DefWatchaspnet_state');
    bc_importquarantinelist;
    BC_activate;
    executesysclean;
    executerepair(5);
    executerepair(6);
    executerepair(7);
    executerepair(11);
    rebootwindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28229 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
    Последний раз редактировалось Numb; 17.08.2008 в 13:28. Причина: поправил скрипт

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    35
    Большое спасибо за помощь! После перезагрузки заставка исчезла, вирус похоже тоже. А что касается Outpost'a, он у меня вообще не стоит на компьютере. Я удалил его давно. То что вы видели, видимо какие-то остатки в реестре. Вроде почистил реестр.

    Прикрепляю логи AVZ как вы и просили. Еще раз большое спасибо!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Больше в логах ничего подозрительного.
    Какие еще проблемы замечаете?
    Сервис Пак 3 + последующие патчи + Java RE 1.6_07 нужно установить.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    35
    1. Код пофиксил
    2. Java RE поставил
    3. SP3 можно ставить по ссылке в Вашей подписи? (Написано, что для It специалистов и большого парка машин.) Или для одной машины лучше брать через апдейты в Microsoft Windows Update?
    4. Проблем больше нет. Не ясно только - где мог взять вирус.

    Спасибо!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от antihome Посмотреть сообщение
    3. SP3 можно ставить по ссылке в Вашей подписи?
    Через апдейты Микрософта можно, но лучше скачать и установить
    Цитата Сообщение от antihome Посмотреть сообщение
    Не ясно только - где мог взять вирус.
    Почитайте: http://security-advisory.virusinfo.info/ - узнаете

  8. #7
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Через апдейты Микрософта можно, но лучше скачать и установить

    Почитайте: http://security-advisory.virusinfo.info/ - узнаете
    Уже Лет 5 не было проблем с вирусами, а теперь серьезно задумался о безопасности. Думаю ваша книга очень поможет. Спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 78
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\rover\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
      2. c:\\windows\\system32\\lphcr42j0eler.exe - Trojan-Downloader.Win32.Small.abfd (DrWEB: Trojan.Packed.600)
      3. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)
      4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.blh (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) antihome, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    2. Ответов: 20
      Последнее сообщение: 22.02.2009, 07:37
    3. Ответов: 29
      Последнее сообщение: 22.02.2009, 07:30
    4. Ответов: 17
      Последнее сообщение: 22.02.2009, 07:23
    5. Ответов: 3
      Последнее сообщение: 16.09.2008, 14:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01259 seconds with 17 queries