Junior Member
Вес репутации
59
Worm.Win32.Socks.iw
При загрузке системы перестали грузиться антивирус и файервол. Трижды при загрузке открывается окно "Мой компьютер". Периодически слетают программы и иногда перезагружается компьютер. Не запускается CureIt. После первого запуска AVZ (на лечение/карантин и последующей перезагрузки не запускаются exe-файлы. Второй лог AVZ и лог Hijack получены после переименования в .com.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
SetServiceStart('tcpsr', 4);
StopService('Xek30');
SetServiceStart('Xek30', 4);
QuarantineFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp','');
QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xek30.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.dll','');
QuarantineFile('c:\windows\mscrypt.dll','');
DeleteFile('c:\windows\mscrypt.dll');
DeleteFile('C:\WINDOWS\system32\winlogon.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
DeleteFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp');
BC_ImportDeletedList;
BC_DeleteSvc('Xek30');
BC_DeleteSvc('Taf85');
BC_DeleteSvc('Kqv52');
BC_DeleteSvc('Hou06');
BC_DeleteSvc('Hnt17');
BC_DeleteSvc('Djp38');
BC_DeleteSvc('Agl62');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22874 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Отключение восстановления смог сделать только после выполнения скрипта (до этого ничего не запускалось). Карантин отправил. Новые логи прилагаю.
Вложения
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File , затем найдите файлы:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Xek30.sys
C:\WINDOWS\system32\Drivers\tcpsr.sys
и сделайте им Force Delete .
3. Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: winlogon - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
4. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Xek30');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.
Добавлено через 4 минуты
У вас установлено два антивируса - nod32 и symantec - это неправильно, антивирус в системе должен быть один, во избежание лишних тормозов и глюков. А программа Ad-aware при наличии нормального антивируса вообще не нужна.
Последний раз редактировалось Bratez; 15.05.2008 в 03:12 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
59
Выполнено. Логи повторять?
Junior Member
Вес репутации
59
Вложения
В IceSword найдите:
Код:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Xek30.sys
C:\WINDOWS\system32\Drivers\tcpsr.sys
и сделайте им Force Delete на запрос о перезагрузке ответьте положительно,затем скрипт из поста №4,повторите логи.
Junior Member
Вес репутации
59
Рядом с WinNT32.dll находится WinNT32.dl_ такого же размера. Его не удалить ли заодно?
Junior Member
Вес репутации
59
Выполнил, правда поспешил, не дождавшись ответа по поводу WinNT32.dl_, поэтому его не удалил.
Вложения
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNT32.dl_ ',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22874
Повторите логи.
Junior Member
Вес репутации
59
Выполнил. NOD32 у меня перестал запускаться в начале этой истории, по крайней мере, в трее его нет и заставка при загрузке не выводится. Symantec антивируса у меня нет, есть Norton Ghost, который тоже пропал из трея. Вообще, из трея пропало практически все. Может вообще снести антивирус и Ghost?
Вложения
В IceSword сделайте этим файлам:WinNt32.dll,WinNT32.dl_,Iot31.sys,Force Delete и перезагрузитесь.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Iot31');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Iot31.sys');
DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Iot31 ');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Junior Member
Вес репутации
59
Выполнено. Такая деталь: при перезагрузке после выполнения скрипта для первого лога получил "Система восстановлена после серьезной ошибки". Хотя галочка на "Отключить восстановление системы на всех дисках" стоит.
Вложения
Выполните скрипт:
Код:
begin
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
Повторите лог syscheck.
Добавлено через 16 минут
P.S. А вот если бы снесли Ad-aware, так все бы давно уже получилось
Последний раз редактировалось Bratez; 15.05.2008 в 13:19 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
59
Вот.
Так сносить AdAware?
Вложения
Мистика! Опять этот Хек вылез откуда-то!
Выполните скрипт:
Код:
begin
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xek30.sys');
BC_DeleteSvc('Xek30');
BC_Activate;
RebootWindows(true);
end.
и еще раз лог syscheck.
AdAware отключите хотя бы, уж очень она любит путаться под ногами и восстанавливать без спроса удаленные нами ключи реестра.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Снес AdAware и NOD32. Перегрузился. Выполнил.
Вложения
Уфф! Теперь чисто!
I am not young enough to know everything...