Worm.Win32.Socks.iw

Printable View

Показывать 40 сообщений этой темы на одной странице

14.05.2008, 16:55
def

Вложений: 3

Worm.Win32.Socks.iw

При загрузке системы перестали грузиться антивирус и файервол. Трижды при загрузке открывается окно "Мой компьютер". Периодически слетают программы и иногда перезагружается компьютер. Не запускается CureIt. После первого запуска AVZ (на лечение/карантин и последующей перезагрузки не запускаются exe-файлы. Второй лог AVZ и лог Hijack получены после переименования в .com.
14.05.2008, 17:10
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('tcpsr');
SetServiceStart('tcpsr', 4);
StopService('Xek30');
SetServiceStart('Xek30', 4);
QuarantineFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp','');
QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xek30.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.dll','');
QuarantineFile('c:\windows\mscrypt.dll','');
DeleteFile('c:\windows\mscrypt.dll');
DeleteFile('C:\WINDOWS\system32\winlogon.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
DeleteFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp');
BC_ImportDeletedList;
BC_DeleteSvc('Xek30');
BC_DeleteSvc('Taf85');
BC_DeleteSvc('Kqv52');
BC_DeleteSvc('Hou06');
BC_DeleteSvc('Hnt17');
BC_DeleteSvc('Djp38');
BC_DeleteSvc('Agl62');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22874[/url]).
Сделайте новые логи.
14.05.2008, 18:12
def

Вложений: 3

Отключение восстановления смог сделать только после выполнения скрипта (до этого ничего не запускалось). Карантин отправил. Новые логи прилагаю.
15.05.2008, 03:12
Bratez

1. Скачайте IceSword: [URL]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/URL]

2. Запустите, слева внизу нажмите [I]File[/I], затем найдите файлы:

C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Xek30.sys
C:\WINDOWS\system32\Drivers\tcpsr.sys

и сделайте им [I]Force Delete[/I].

3. Пофиксите в HijackThis:
[code]O20 - Winlogon Notify: winlogon - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll[/code]

4. Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Xek30');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

У вас установлено два антивируса - nod32 и symantec - это неправильно, антивирус в системе должен быть один, во избежание лишних тормозов и глюков. А программа Ad-aware при наличии нормального антивируса вообще не нужна.
15.05.2008, 09:27
def

Выполнено. Логи повторять?
15.05.2008, 09:30
Гриша

Да
15.05.2008, 10:00
def

Вложений: 3

Вот свежие логи.
15.05.2008, 10:15
Гриша

В IceSword найдите:

[CODE]C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Xek30.sys
C:\WINDOWS\system32\Drivers\tcpsr.sys
[/CODE]

и сделайте им Force Delete на запрос о перезагрузке ответьте положительно,затем скрипт из поста №4,повторите логи.
15.05.2008, 10:29
def

Рядом с WinNT32.dll находится WinNT32.dl_ такого же размера. Его не удалить ли заодно?
15.05.2008, 10:40
Гриша

Да
15.05.2008, 11:02
def

Вложений: 3

Выполнил, правда поспешил, не дождавшись ответа по поводу WinNT32.dl_, поэтому его не удалил.
15.05.2008, 11:08
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNT32.dl_ ',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22874[/url]

Повторите логи.
15.05.2008, 11:50
def

Вложений: 3

Выполнил. NOD32 у меня перестал запускаться в начале этой истории, по крайней мере, в трее его нет и заставка при загрузке не выводится. Symantec антивируса у меня нет, есть Norton Ghost, который тоже пропал из трея. Вообще, из трея пропало практически все. Может вообще снести антивирус и Ghost?
15.05.2008, 11:55
Гриша

В IceSword сделайте этим файлам:WinNt32.dll,WinNT32.dl_,Iot31.sys,Force Delete и перезагрузитесь.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Iot31');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Iot31.sys');
DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Iot31 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи.
15.05.2008, 12:46
def

Вложений: 3

Выполнено. Такая деталь: при перезагрузке после выполнения скрипта для первого лога получил "Система восстановлена после серьезной ошибки". Хотя галочка на "Отключить восстановление системы на всех дисках" стоит.
15.05.2008, 13:19
Bratez

Выполните скрипт:
[code]
begin
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите лог syscheck.

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

P.S. А вот если бы снесли Ad-aware, так все бы давно уже получилось ;)
15.05.2008, 13:21
def

Вложений: 1

Вот.

Так сносить AdAware?
15.05.2008, 13:38
Bratez

Мистика! Опять этот Хек вылез откуда-то!
Выполните скрипт:
[code]begin
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xek30.sys');
BC_DeleteSvc('Xek30');
BC_Activate;
RebootWindows(true);
end.[/code]
и еще раз лог syscheck.

AdAware отключите хотя бы, уж очень она любит путаться под ногами и восстанавливать без спроса удаленные нами ключи реестра.
15.05.2008, 14:11
def

Вложений: 1

Снес AdAware и NOD32. Перегрузился. Выполнил.
15.05.2008, 14:20
Bratez

Уфф! Теперь чисто! :)

Показывать 40 сообщений этой темы на одной странице