Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Worm.Win32.Socks.iw (заявка № 22874)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32

    Thumbs up Worm.Win32.Socks.iw

    При загрузке системы перестали грузиться антивирус и файервол. Трижды при загрузке открывается окно "Мой компьютер". Периодически слетают программы и иногда перезагружается компьютер. Не запускается CureIt. После первого запуска AVZ (на лечение/карантин и последующей перезагрузки не запускаются exe-файлы. Второй лог AVZ и лог Hijack получены после переименования в .com.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('tcpsr');
     SetServiceStart('tcpsr', 4);
     StopService('Xek30');
     SetServiceStart('Xek30', 4);
     QuarantineFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp','');
     QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Xek30.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.dll','');
     QuarantineFile('c:\windows\mscrypt.dll','');
     DeleteFile('c:\windows\mscrypt.dll');
     DeleteFile('C:\WINDOWS\system32\winlogon.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
     DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
     DeleteFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp');
    BC_ImportDeletedList;
     BC_DeleteSvc('Xek30');
     BC_DeleteSvc('Taf85');
     BC_DeleteSvc('Kqv52');
     BC_DeleteSvc('Hou06');
     BC_DeleteSvc('Hnt17');
     BC_DeleteSvc('Djp38');
     BC_DeleteSvc('Agl62');
     BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    ExecuteRepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=22874).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Отключение восстановления смог сделать только после выполнения скрипта (до этого ничего не запускалось). Карантин отправил. Новые логи прилагаю.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:

    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\Drivers\Xek30.sys
    C:\WINDOWS\system32\Drivers\tcpsr.sys

    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: winlogon - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
    DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('Xek30');
    BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

    Добавлено через 4 минуты

    У вас установлено два антивируса - nod32 и symantec - это неправильно, антивирус в системе должен быть один, во избежание лишних тормозов и глюков. А программа Ad-aware при наличии нормального антивируса вообще не нужна.
    Последний раз редактировалось Bratez; 15.05.2008 в 03:12. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Выполнено. Логи повторять?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Да

  8. #7
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Вот свежие логи.
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В IceSword найдите:

    Код:
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\Drivers\Xek30.sys
    C:\WINDOWS\system32\Drivers\tcpsr.sys
    и сделайте им Force Delete на запрос о перезагрузке ответьте положительно,затем скрипт из поста №4,повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Рядом с WinNT32.dll находится WinNT32.dl_ такого же размера. Его не удалить ли заодно?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Да

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Выполнил, правда поспешил, не дождавшись ответа по поводу WinNT32.dl_, поэтому его не удалил.
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Отключите антивирус и интернет!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNT32.dl_  ',' ');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22874

    Повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Выполнил. NOD32 у меня перестал запускаться в начале этой истории, по крайней мере, в трее его нет и заставка при загрузке не выводится. Symantec антивируса у меня нет, есть Norton Ghost, который тоже пропал из трея. Вообще, из трея пропало практически все. Может вообще снести антивирус и Ghost?
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В IceSword сделайте этим файлам:WinNt32.dll,WinNT32.dl_,Iot31.sys,Force Delete и перезагрузитесь.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Iot31');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot31.sys');
     DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
     DeleteFile('WinNt32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Iot31 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  16. #15
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Выполнено. Такая деталь: при перезагрузке после выполнения скрипта для первого лога получил "Система восстановлена после серьезной ошибки". Хотя галочка на "Отключить восстановление системы на всех дисках" стоит.
    Вложения Вложения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог syscheck.

    Добавлено через 16 минут

    P.S. А вот если бы снесли Ad-aware, так все бы давно уже получилось
    Последний раз редактировалось Bratez; 15.05.2008 в 13:19. Причина: Добавлено
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Вот.

    Так сносить AdAware?
    Вложения Вложения

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Мистика! Опять этот Хек вылез откуда-то!
    Выполните скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xek30.sys');
     BC_DeleteSvc('Xek30');
    BC_Activate;
    RebootWindows(true);
    end.
    и еще раз лог syscheck.

    AdAware отключите хотя бы, уж очень она любит путаться под ногами и восстанавливать без спроса удаленные нами ключи реестра.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    32
    Снес AdAware и NOD32. Перегрузился. Выполнил.
    Вложения Вложения

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Уфф! Теперь чисто!
    I am not young enough to know everything...

  • Уважаемый(ая) def, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    2. Ответов: 24
      Последнее сообщение: 12.04.2009, 00:10
    3. Virtumonde. Zhelatin and Socks.
      От stranger87 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 07:29
    4. Net-Worm.Win32.Slammer Он же Win.MSSQL.worm.Helkern.
      От TeXeT в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 28.07.2008, 13:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01330 seconds with 21 queries