Показано с 1 по 16 из 16.

Проблема с Hacktool.Rootkit tcpsr.sys (заявка № 24809)

  1. #1
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31

    Thumbs up Проблема с Hacktool.Rootkit tcpsr.sys

    Доброго времени суток Очень надеюсь на вашу помощь.
    Я видел подобные темы но в правилах написано что запрещено выполнять скрипты написанные для других!
    При подключении к инету каспер сразу ругается на tcpsr.sys, первые несколько секунд я могу заходить на нужные сайты,а затем начинается очень большая сетевая активность и очень большой исходящий трафик в результате невозможно попасть ни на один сайт!
    Выкладываю логи.
    С уважением N0ax.
    P.S. Комп рабочий установлены Oracl и Альфа Центр
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     SetServiceStart('symavc32', 4);
     SetServiceStart('Nuw25', 4);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nex48.sys','');
     SetServiceStart('Nex48', 4);
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nex48.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Nex48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nuw25.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи. Прислать карантин.

    Версию Касперского пора бы обновить, уже давно 7-ка и 8-ка идет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31

    Отправляю новые логи и карантин

    После выполнения скрипта трафик уменьшился и инет держится немного дольше но затем снова все по старому.
    Большое спасибо,надеюсь на дальнейшую помощь.
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    карантин надо по красной ссылке засылать. Отсюда его надо удалить.

    Скачиваем: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
    Удаляем в нем через force delete:
    C:\WINDOWS\system32\Drivers\Nex48.sys
    C:\WINDOWS\System32\drivers\tcpsr.sys

    После выполняем еще раз скрипт.

    Делаем заново логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31

    Проблема с закачкой файла

    Приветствую Pavel !
    Карантин отсюда удалил и закачал через форму:
    Файл сохранён как080618_212136_Quarantine_4859c2b0ebb6f.zipРазме р файла52069MD593e13de2008a9ac1f6c088ce858e637e
    Файл 1.zip по указанной ссылке скачать не получается, нажимаю download, а в итоге вместо закачки получаю просто обновление страницы.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Поищи IceSword через гугл. У меня сейчас под рукой нет ссылки другой.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    После проведения всех действий исчезла сетевуха,после повторной перезагрузки все стало нормально,трафик уменьшился но при выходе в инет все равно постепенно нарастает и минут через 5 снова превышивает входящий и страницы не открываются.

    карантин:
    http://virusinfo.info/showthread.php?t=24809
    Файл сохранён как080623_224411_2008-06-24_48606d8b381f7.zipРазмер файла6925MD52e9fdf6a9ee9139bef09dce1199af100
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Зверь на месте остался
    Повторяем в IceSword:
    C:\WINDOWS\system32\Drivers\Scv04.sys
    C:\WINDOWS\System32\drivers\tcpsr.sys - для этих force delete с согласием на послед перезагрузку.
    Затем скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Nex48');
     SetServiceStart('Nex48', 4);
     DeleteService('tcpsr');
     SetServiceStart('tcpsr', 4);
     DeleteService('Scv04');
     SetServiceStart('Scv04', 4);
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Scv04.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Scv04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    При удалении указанных файлов файла C:\WINDOWS\System32\drivers\tcpsr.sys не было,поэтому проделал все исключая этот файл. И еще вопрос обязательно ли все это выполнять в safe mode?
    Большое спасибо что не оставляете мои вопросы без ответа

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Нет. Это можно делать в обычном режиме.

    Логи нужны новые, будем смотреть выжил зловред или нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    Исходящий трафик сейчас не превышает входящий,инет вроде работает нормально.
    Карантин:
    Файл сохранён как080626_020834_2008-06-26_4863407249bc0.zipРазмер файла51835MD5ea4fb9124c6225dac6b834759bba091a
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Осталось немного подчиститься.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Scv04');
     DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Профиксить:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

    Сделать новые логи с п.10 Желательно обновить версию антивируса, 7-ка ловит значительно больше.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    Вот новые логи,инет работает но немного тормозно.
    Последний раз редактировалось N0ax; 10.07.2008 в 06:20.

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Удаление прошло успешно.

    На вашем компьютере работает потенциально опасный функционал:

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    Мы можем отключить данный функционал. Используете ли вы в работе какую-либо из указанных функций?
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  16. #15
    Junior Member Репутация
    Регистрация
    18.06.2008
    Адрес
    Gornozavodsk
    Сообщений
    13
    Вес репутации
    31
    В принципе необходимые службы можно отключить это я знаю как,вопрос только как все сделать что написано в пункте безопасность?

    И еще вопрос для чего нужна эта служба?
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).

    И еще,на сколько я слышал при остановке этой службы не будет дефрагментироватся MFT(кажется,но точно не помню)?
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

    Большое спасибо за поддержку и готовность помочь ))

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от N0ax Посмотреть сообщение
    И еще вопрос для чего нужна эта служба?
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).
    Поиск доступных сетевых ресурсов и автоматическое занесение их в Моё сетевое окружение. Лично я такой самостоятельности не люблю.

    Цитата Сообщение от N0ax Посмотреть сообщение
    И еще,на сколько я слышал при остановке этой службы не будет дефрагментироватся MFT(кажется,но точно не помню)?
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    IMHO, это из области городских легенд. Хотя MS любит нагружать свои софтины попутными функциями.

  • Уважаемый(ая) N0ax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Hacktool.Rootkit
      От georgetray в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2009, 01:47
    2. Hacktool.Rootkit
      От DVlad в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.04.2009, 18:50
    3. Hacktool.Rootkit
      От reketir в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:58
    4. Проблема - Hacktool rootkit
      От Мирослав в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:55
    5. Hacktool.Rootkit tcpsr.sys
      От Пенни в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01416 seconds with 21 queries