Показано с 1 по 9 из 9.

Trojan Pandex + Virantix.C (заявка № 30127)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    57
    Всё было так. Лазию в инете, вдруг после перехода на какую-то страницу у меня закрывается всё, вылетает ошибка системы и перезагружется компьютер. По началу дня 2-3 после включения\загрузки Symantec писал о наличии Pandex с просьбой перезагрузки. Дня через 2 я потерял возможность включать компьютер вообще, после загрузки вылетали критические ошибки и сразу-же ребут. Дня 2 назад в списке вирусов появился и Virantix.C . Сканированеи не даёт результатов. Надеюсь на вашу помощ.

    (Ещё один не приятный момент, хотя не очень важный, в трее появился кружок красный перечёркнутый, который выводится сразу после загрузки с текстом о Yor computer is infected! Как убрать это штуку.)
    Последний раз редактировалось Zik0; 22.02.2010 в 11:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.bak
    C:\WINDOWS\system32\WinCtrl32.dl_
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf26.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windi51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk15.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk72.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl04.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winin04.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winin15.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo04.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winkp48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winot05.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winot37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winot73.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winqv26.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv83.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winty61.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winxd61.sys','');
     QuarantineFile('C:\WINDOWS\system32\XDva186.sys','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe','');
     QuarantineFile('C:\Program Files\WinAntispyware2008\Uninstall.exe','');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     DeleteService('Adobeusprserv');
     DeleteService('AWHelpServerccSetMgrImapiService');
     DeleteService('AWHelpServerNetTcpPortSharing');
     DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
     DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
     DeleteService('dmserverdmserver');
     DeleteService('dmserverSysmonLog');
     DeleteService('IDriverTCCALib8');
     DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
     DeleteService('LiveUpdatehelpsvc');
     DeleteService('MicrosoftMSIServer');
     DeleteService('mnmsrvcCryptSvc');
     DeleteService('mnmsrvcMSIServer');
     DeleteService('NetmanNtmsSvc');
     DeleteService('NetmanSchedule');
     DeleteService('odservmaya70docserver');
     DeleteService('odservmaya70docserverose');
     DeleteService('PlugPlayodserv');
     DeleteService('PlugPlayTrkWks');
     DeleteService('PolicyAgentThemes');
     DeleteService('ProtectedStorageSCardSvr');
     DeleteService('RSVPRSVP');
     DeleteService('SCardSvrDnscache');
     DeleteService('SCardSvrWZCSVC');
     DeleteService('ShellHWDetectionNetDDEdsdm');
     DeleteService('SPBBCSvcRasMan');
     DeleteService('SPBBCSvcRasManidsvc');
     DeleteService('ThemesTlntSvr');
     DeleteService('TlntSvrRSVP');
     DeleteService('TrkWksSchedule');
     DeleteService('usprservhelpsvc');
     DeleteService('xmlprovMicrosoftMSIServer');
     DeleteService('wscsvcNetman');
     DeleteService('WmiLiveUpdate');
     DeleteService('XDva186');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
     DeleteFile('C:\Program Files\WinAntispyware2008\Uninstall.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Temporary Internet Files\Content.IE5\MRF0ENBJ\Install[1].exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\XDva186.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxd61.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winty61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqv37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winqv26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winot73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winot37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winot05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winkp48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winin15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf04.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Adobeusprserv');
     BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
     BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
     BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
     BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
     BC_DeleteSvc('dmserverdmserver');
     BC_DeleteSvc('dmserverSysmonLog');
     BC_DeleteSvc('IDriverTCCALib8');
     BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
     BC_DeleteSvc('LiveUpdatehelpsvc');
     BC_DeleteSvc('MicrosoftMSIServer');
     BC_DeleteSvc('mnmsrvcCryptSvc');
     BC_DeleteSvc('mnmsrvcMSIServer');
     BC_DeleteSvc('NetmanNtmsSvc');
     BC_DeleteSvc('NetmanSchedule');
     BC_DeleteSvc('odservmaya70docserver');
     BC_DeleteSvc('odservmaya70docserverose');
     BC_DeleteSvc('PlugPlayodserv');
     BC_DeleteSvc('PlugPlayTrkWks');
     BC_DeleteSvc('PolicyAgentThemes');
     BC_DeleteSvc('ProtectedStorageSCardSvr');
     BC_DeleteSvc('RSVPRSVP');
     BC_DeleteSvc('SCardSvrDnscache');
     BC_DeleteSvc('SCardSvrWZCSVC');
     BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
     BC_DeleteSvc('SPBBCSvcRasMan');
     BC_DeleteSvc('SPBBCSvcRasManidsvc');
     BC_DeleteSvc('ThemesTlntSvr');
     BC_DeleteSvc('TlntSvrRSVP');
     BC_DeleteSvc('TrkWksSchedule');
     BC_DeleteSvc('usprservhelpsvc');
     BC_DeleteSvc('xmlprovMicrosoftMSIServer');
     BC_DeleteSvc('wscsvcNetman');
     BC_DeleteSvc('WmiLiveUpdate');
     BC_DeleteSvc('XDva186');
    
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    57
    Всё сделал как вы сказали. Наконец-то при перезагрузки у меня не было ребута и усчезла эта икона с трея, за что уже спасибо . Логи в студии.
    Последний раз редактировалось Zik0; 22.02.2010 в 11:02.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
     DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
     DeleteService('wscsvcNetman');
     DeleteService('Wmiusprservhelpsvc');
     DeleteService('WmiLiveUpdate');
     DeleteService('usprservhelpsvc');
     DeleteService('TrkWksSchedule');
     DeleteService('TlntSvrRSVP');
     DeleteService('ThemesTlntSvr');
     DeleteService('SPBBCSvcRasManidsvc');
     DeleteService('SPBBCSvcRasMan');
     DeleteService('ShellHWDetectionNetDDEdsdm');
     DeleteService('SCardSvrWZCSVC');
     DeleteService('SCardSvrDnscache');
     DeleteService('RSVPRSVP');
     DeleteService('ProtectedStorageSCardSvr');
     DeleteService('PolicyAgentThemes');
     DeleteService('PlugPlayTrkWks');
     DeleteService('PlugPlayodserv');
     DeleteService('odservmaya70docserverose');
     DeleteService('odservmaya70docserver');
     DeleteService('NetmanSchedule');
     DeleteService('NetmanNtmsSvc');
     DeleteService('mnmsrvcMSIServer');
     DeleteService('mnmsrvcCryptSvc');
     DeleteService('MicrosoftMSIServer');
     DeleteService('LiveUpdatehelpsvc');
     DeleteService('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
     DeleteService('IDriverTCCALib8');
     DeleteService('dmserverSysmonLog');
     DeleteService('dmserverdmserver');
     DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
     DeleteService('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
     DeleteService('ccSetMgrImapiService');
     DeleteService('AWHelpServerNetTcpPortSharing');
     DeleteService('AWHelpServerccSetMgrImapiServiceALG');
     DeleteService('AWHelpServerccSetMgrImapiService');
     DeleteService('Adobeusprserv');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('wscsvcNetman');
     BC_DeleteSvc('Wmiusprservhelpsvc');
     BC_DeleteSvc('WmiLiveUpdate');
     BC_DeleteSvc('usprservhelpsvc');
     BC_DeleteSvc('TrkWksSchedule');
     BC_DeleteSvc('TlntSvrRSVP');
     BC_DeleteSvc('ThemesTlntSvr');
     BC_DeleteSvc('SPBBCSvcRasManidsvc');
     BC_DeleteSvc('SPBBCSvcRasMan');
     BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
     BC_DeleteSvc('SCardSvrWZCSVC');
     BC_DeleteSvc('SCardSvrDnscache');
     BC_DeleteSvc('RSVPRSVP');
     BC_DeleteSvc('ProtectedStorageSCardSvr');
     BC_DeleteSvc('PolicyAgentThemes');
     BC_DeleteSvc('PlugPlayTrkWks');
     BC_DeleteSvc('PlugPlayodserv');
     BC_DeleteSvc('odservmaya70docserverose');
     BC_DeleteSvc('odservmaya70docserver');
     BC_DeleteSvc('NetmanSchedule');
     BC_DeleteSvc('NetmanNtmsSvc');
     BC_DeleteSvc('mnmsrvcMSIServer');
     BC_DeleteSvc('mnmsrvcCryptSvc');
     BC_DeleteSvc('MicrosoftMSIServer');
     BC_DeleteSvc('LiveUpdatehelpsvc');
     BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
     BC_DeleteSvc('IDriverTCCALib8');
     BC_DeleteSvc('dmserverSysmonLog');
     BC_DeleteSvc('dmserverdmserver');
     BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
     BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharing');
     BC_DeleteSvc('ccSetMgrImapiService');
     BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
     BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
     BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
     BC_DeleteSvc('Adobeusprserv');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    57
    Всё сделано. Вот новые логи.
    Вложения Вложения
    Последний раз редактировалось Zik0; 22.02.2010 в 11:02.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    BC_DeleteSvc('wscsvcNetman');
    BC_DeleteSvc('Wmiusprservhelpsvc');
    BC_DeleteSvc('WmiLiveUpdate');
    BC_DeleteSvc('WinRoute');
    BC_DeleteSvc('usprservhelpsvc');
    BC_DeleteSvc('TrkWksSchedule');
    BC_DeleteSvc('ThemesTlntSvr');
    BC_DeleteSvc('SPBBCSvcRasManidsvc');
    BC_DeleteSvc('SPBBCSvcRasMan');
    BC_DeleteSvc('ShellHWDetectionNetDDEdsdm');
    BC_DeleteSvc('SCardSvrWZCSVC');
    BC_DeleteSvc('SCardSvrDnscache');
    BC_DeleteSvc('RSVPRSVP');
    BC_DeleteSvc('ProtectedStorageSCardSvr');
    BC_DeleteSvc('PlugPlayTrkWks');
    BC_DeleteSvc('PlugPlayodserv');
    BC_DeleteSvc('odservmaya70docserverose');
    BC_DeleteSvc('odservmaya70docserver');
    BC_DeleteSvc('NetmanNtmsSvc');
    BC_DeleteSvc('NetmanSchedule');
    BC_DeleteSvc('mnmsrvcMSIServer');
    BC_DeleteSvc('mnmsrvcCryptSvc');
    BC_DeleteSvc('LiveUpdatehelpsvc');
    BC_DeleteSvc('LiveUpdateAWHelpServerccSetMgrImapiServiceALG');
    BC_DeleteSvc('IDriverTCCALib8');
    BC_DeleteSvc('dmserverSysmonLog');
    BC_DeleteSvc('ccSetMgrImapiServiceAWHelpServerNetTcpPortSharingusnjsvc');
    BC_DeleteSvc('ccSetMgrImapiService');
    BC_DeleteSvc('AWHelpServerNetTcpPortSharing');
    BC_DeleteSvc('AWHelpServerccSetMgrImapiServiceALG');
    BC_DeleteSvc('AWHelpServerccSetMgrImapiService');
    BC_DeleteSvc('Adobeusprserv');
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    57
    Cкрипт выполнен. Логи тут.
    Последний раз редактировалось Zik0; 22.02.2010 в 11:02.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в safe mode выполните скрипт из поста 6 ...
    затем повторите логи начиная с пунта 10 правил

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\winddl - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23
      2. c:\\documents and settings\\администратор\\рабочий стол\\icesword122en\\windl - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23
      3. c:\\program files\\winantispyware2008\\uninstall.exe - Trojan-Downloader.Win32.FraudLoad.vcby (DrWEB: Trojan.Fakealert.1322)
      4. c:\\windows\\system32\\braviax.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)
      5. c:\\windows\\system32\\winivstr.exe - Trojan-Downloader.Win32.FraudLoad.vcby (DrWEB: Trojan.Fakealert.1322)


  • Уважаемый(ая) Zik0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Blusod, Pandex, Virantix - все сразу
      От link2k в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:51
    2. Похоже поймал Trojan.Virantix.C
      От Web-Silver в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:44
    3. trojan.pandex, trojan.adclicker, windows validation
      От Galka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:08
    4. Ответов: 2
      Последнее сообщение: 26.05.2008, 05:22
    5. Trojan.Virantix.B(braviax.exe и wmiprvse.exe)
      От Radow в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 09.03.2008, 12:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00655 seconds with 20 queries