Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Worm.Win32.Socks.iw (заявка № 22874)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36

    Thumbs up Worm.Win32.Socks.iw

    При загрузке системы перестали грузиться антивирус и файервол. Трижды при загрузке открывается окно "Мой компьютер". Периодически слетают программы и иногда перезагружается компьютер. Не запускается CureIt. После первого запуска AVZ (на лечение/карантин и последующей перезагрузки не запускаются exe-файлы. Второй лог AVZ и лог Hijack получены после переименования в .com.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('tcpsr');
     SetServiceStart('tcpsr', 4);
     StopService('Xek30');
     SetServiceStart('Xek30', 4);
     QuarantineFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp','');
     QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Xek30.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\winlogon.dll','');
     QuarantineFile('c:\windows\mscrypt.dll','');
     DeleteFile('c:\windows\mscrypt.dll');
     DeleteFile('C:\WINDOWS\system32\winlogon.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
     DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
     DeleteFile('C:\Documents and Settings\Vic\Local Settings\Temp\BF7.tmp');
    BC_ImportDeletedList;
     BC_DeleteSvc('Xek30');
     BC_DeleteSvc('Taf85');
     BC_DeleteSvc('Kqv52');
     BC_DeleteSvc('Hou06');
     BC_DeleteSvc('Hnt17');
     BC_DeleteSvc('Djp38');
     BC_DeleteSvc('Agl62');
     BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    ExecuteRepair(1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=22874).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Отключение восстановления смог сделать только после выполнения скрипта (до этого ничего не запускалось). Карантин отправил. Новые логи прилагаю.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:

    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\Drivers\Xek30.sys
    C:\WINDOWS\system32\Drivers\tcpsr.sys

    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: winlogon - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Xek30.sys');
    DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('Xek30');
    BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

    Добавлено через 4 минуты

    У вас установлено два антивируса - nod32 и symantec - это неправильно, антивирус в системе должен быть один, во избежание лишних тормозов и глюков. А программа Ad-aware при наличии нормального антивируса вообще не нужна.
    Последний раз редактировалось Bratez; 15.05.2008 в 03:12. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Выполнено. Логи повторять?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Да

  8. #7
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Вот свежие логи.
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    В IceSword найдите:

    Код:
    C:\WINDOWS\system32\WinNt32.dll
    C:\WINDOWS\system32\Drivers\Xek30.sys
    C:\WINDOWS\system32\Drivers\tcpsr.sys
    и сделайте им Force Delete на запрос о перезагрузке ответьте положительно,затем скрипт из поста №4,повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Рядом с WinNT32.dll находится WinNT32.dl_ такого же размера. Его не удалить ли заодно?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Да

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Выполнил, правда поспешил, не дождавшись ответа по поводу WinNT32.dl_, поэтому его не удалил.
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Отключите антивирус и интернет!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNT32.dl_  ',' ');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteService('tcpsr');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('tcpsr ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22874

    Повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Выполнил. NOD32 у меня перестал запускаться в начале этой истории, по крайней мере, в трее его нет и заставка при загрузке не выводится. Symantec антивируса у меня нет, есть Norton Ghost, который тоже пропал из трея. Вообще, из трея пропало практически все. Может вообще снести антивирус и Ghost?
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    В IceSword сделайте этим файлам:WinNt32.dll,WinNT32.dl_,Iot31.sys,Force Delete и перезагрузитесь.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Iot31');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Iot31.sys');
     DeleteFile('C:\WINDOWS\system32\WinNT32.dl_ ');
     DeleteFile('WinNt32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Iot31 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  16. #15
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Выполнено. Такая деталь: при перезагрузке после выполнения скрипта для первого лога получил "Система восстановлена после серьезной ошибки". Хотя галочка на "Отключить восстановление системы на всех дисках" стоит.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите лог syscheck.

    Добавлено через 16 минут

    P.S. А вот если бы снесли Ad-aware, так все бы давно уже получилось
    Последний раз редактировалось Bratez; 15.05.2008 в 13:19. Причина: Добавлено
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Вот.

    Так сносить AdAware?
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Мистика! Опять этот Хек вылез откуда-то!
    Выполните скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xek30.sys');
     BC_DeleteSvc('Xek30');
    BC_Activate;
    RebootWindows(true);
    end.
    и еще раз лог syscheck.

    AdAware отключите хотя бы, уж очень она любит путаться под ногами и восстанавливать без спроса удаленные нами ключи реестра.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    31.03.2008
    Сообщений
    16
    Вес репутации
    36
    Снес AdAware и NOD32. Перегрузился. Выполнил.
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Уфф! Теперь чисто!
    I am not young enough to know everything...

  • Уважаемый(ая) def, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    2. Ответов: 24
      Последнее сообщение: 12.04.2009, 00:10
    3. Virtumonde. Zhelatin and Socks.
      От stranger87 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 07:29
    4. Net-Worm.Win32.Slammer Он же Win.MSSQL.worm.Helkern.
      От TeXeT в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 28.07.2008, 13:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01298 seconds with 17 queries