Trojan.Pandex + Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64

[antihome]

Добрый день.

На рабочем столе появилась красно-белая заставка с надписью: Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.

Warning! Win32/Adware.Virtumonde Detected on your computer - Danger!

Warning! Win32/PrivacyRemover.M64 Detected on your computer - Danger!

Please activate your antivirus software to Clean your computer

2. Symantec обнаружил Trojan.Pandex и просит перезагрузить компьютер. После перезагрузки опять ловит вирус и просит перезагрузить компьютер. Далее по кругу.

Вирус Trojan.Pandex раз в несколько минут рассылает спам с моей машины. Пробовал сканировать с помощью CureIt, Spyware Doctor, AVZ - эти программы вирус не обнаруживают.

Прочитал, что для этого вируса нужно индивидуальное лечение. Прикладываю необходимые файлы. Подскажите, пожалуйста, пути решения проблемы.

[Numb]

На время выполнения скрипта, отключитесь от сети, отключите восстановление системы, антивирусные мониторы (видны Simantec и Spyware doctor - отключите оба) и файерволл (у вас виден Outpost - его, на время выполнения скрипта, следует не просто перевести в режим разрешения, но отключить)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\lphcr42j0eler.exe');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\lphcr42j0eler.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphcr42j0eler.scr','');
 QuarantineFile('c:\windows\system32\lphcr42j0eler.exe','');
 QuarantineFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf17.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\LIBBZ2.dll','');
 DelWinlogonNotifyByFileName('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyf17.sys');
 DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
 BC_DeleteFile('c:\windows\system32\lphcr42j0eler.exe');
 DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
 BC_DeleteFile('C:\WINDOWS\system32\blphcr42j0eler.scr');
 DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
 BC_DeleteFile('C:\WINDOWS\system32\lphcr42j0eler.exe');
 DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
 BC_DeleteFile('C:\Documents and Settings\rover\Local Settings\Temp\loader.exe');
 DeleteService('Winyf17');
 DeleteService('VSSALG');
 DeleteService('stisvcRpcSs');
 DeleteService('SquidNTHidServ');
 DeleteService('VSSDcomLaunch');
 DeleteService('ScheduleCiSvc');
 DeleteService('ProtectedStorageERSvc');
 DeleteService('NlaEventSystem');
 DeleteService('mnmsrvcEventlog');
 DeleteService('Appleclr_optimization_v2.0.50727_32');
 DeleteService('DcomLaunchMSDTC');
 DeleteService('dmserverPlugPlay');
 DeleteService('DefWatchaspnet_state');
 BC_DeleteSVC('Winyf17');
 BC_DeleteSVC('VSSALG');
 BC_DeleteSVC('stisvcRpcSs');
 BC_DeleteSVC('SquidNTHidServ');
 BC_DeleteSVC('VSSDcomLaunch');
 BC_DeleteSVC('ScheduleCiSvc');
 BC_DeleteSVC('ProtectedStorageERSvc');
 BC_DeleteSVC('NlaEventSystem');
 BC_DeleteSVC('mnmsrvcEventlog');
 BC_DeleteSVC('Appleclr_optimization_v2.0.50727_32');
 BC_DeleteSVC('DcomLaunchMSDTC');
 BC_DeleteSVC('dmserverPlugPlay');
 BC_DeleteSVC('DefWatchaspnet_state');
bc_importquarantinelist;
BC_activate;
executesysclean;
executerepair(5);
executerepair(6);
executerepair(7);
executerepair(11);
rebootwindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28229 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.

[antihome]

Большое спасибо за помощь! После перезагрузки заставка исчезла, вирус похоже тоже. А что касается Outpost'a, он у меня вообще не стоит на компьютере. Я удалил его давно. То что вы видели, видимо какие-то остатки в реестре. Вроде почистил реестр.

Прикрепляю логи AVZ как вы и просили. Еще раз большое спасибо!

[Rene-gad]

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Больше в логах ничего подозрительного.
Какие еще проблемы замечаете?
Сервис Пак 3 + последующие патчи + Java RE 1.6_07 нужно установить.

[antihome]

1. Код пофиксил
2. Java RE поставил
3. SP3 можно ставить по ссылке в Вашей подписи? (Написано, что для It специалистов и большого парка машин.) Или для одной машины лучше брать через апдейты в Microsoft Windows Update?
4. Проблем больше нет. Не ясно только - где мог взять вирус.

Спасибо!

[Rene-gad]

3. SP3 можно ставить по ссылке в Вашей подписи?

Через апдейты Микрософта можно, но лучше скачать и установить

Не ясно только - где мог взять вирус.

Почитайте: http://security-advisory.virusinfo.info/ - узнаете

[antihome]

Через апдейты Микрософта можно, но лучше скачать и установить

Почитайте: http://security-advisory.virusinfo.info/ - узнаете

Уже Лет 5 не было проблем с вирусами, а теперь серьезно задумался о безопасности. Думаю ваша книга очень поможет. Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 6
• Обработано файлов: 78
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\rover\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
  2. c:\\windows\\system32\\lphcr42j0eler.exe - Trojan-Downloader.Win32.Small.abfd (DrWEB: Trojan.Packed.600)
  3. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)
  4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.blh (DrWEB: BackDoor.Bulknet.225)