-
Junior Member
- Вес репутации
- 58
Проблема с Hacktool.Rootkit tcpsr.sys
Доброго времени суток Очень надеюсь на вашу помощь.
Я видел подобные темы но в правилах написано что запрещено выполнять скрипты написанные для других!
При подключении к инету каспер сразу ругается на tcpsr.sys, первые несколько секунд я могу заходить на нужные сайты,а затем начинается очень большая сетевая активность и очень большой исходящий трафик в результате невозможно попасть ни на один сайт!
Выкладываю логи.
С уважением N0ax.
P.S. Комп рабочий установлены Oracl и Альфа Центр
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
SetServiceStart('symavc32', 4);
SetServiceStart('Nuw25', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Nex48.sys','');
SetServiceStart('Nex48', 4);
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nex48.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Nex48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nuw25.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи. Прислать карантин.
Версию Касперского пора бы обновить, уже давно 7-ка и 8-ка идет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Отправляю новые логи и карантин
После выполнения скрипта трафик уменьшился и инет держится немного дольше но затем снова все по старому.
Большое спасибо,надеюсь на дальнейшую помощь.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
-
карантин надо по красной ссылке засылать. Отсюда его надо удалить.
Скачиваем: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
Удаляем в нем через force delete:
C:\WINDOWS\system32\Drivers\Nex48.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
После выполняем еще раз скрипт.
Делаем заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Проблема с закачкой файла
Приветствую Pavel !
Карантин отсюда удалил и закачал через форму:
Файл сохранён как080618_212136_Quarantine_4859c2b0ebb6f.zipРазме р файла52069MD593e13de2008a9ac1f6c088ce858e637e
Файл 1.zip по указанной ссылке скачать не получается, нажимаю download, а в итоге вместо закачки получаю просто обновление страницы.
-
Поищи IceSword через гугл. У меня сейчас под рукой нет ссылки другой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
После проведения всех действий исчезла сетевуха,после повторной перезагрузки все стало нормально,трафик уменьшился но при выходе в инет все равно постепенно нарастает и минут через 5 снова превышивает входящий и страницы не открываются.
карантин:
http://virusinfo.info/showthread.php?t=24809
Файл сохранён как080623_224411_2008-06-24_48606d8b381f7.zipРазмер файла6925MD52e9fdf6a9ee9139bef09dce1199af100
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
-
Зверь на месте остался
Повторяем в IceSword:
C:\WINDOWS\system32\Drivers\Scv04.sys
C:\WINDOWS\System32\drivers\tcpsr.sys - для этих force delete с согласием на послед перезагрузку.
Затем скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Nex48');
SetServiceStart('Nex48', 4);
DeleteService('tcpsr');
SetServiceStart('tcpsr', 4);
DeleteService('Scv04');
SetServiceStart('Scv04', 4);
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Scv04.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Scv04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
При удалении указанных файлов файла C:\WINDOWS\System32\drivers\tcpsr.sys не было,поэтому проделал все исключая этот файл. И еще вопрос обязательно ли все это выполнять в safe mode?
Большое спасибо что не оставляете мои вопросы без ответа
-
Нет. Это можно делать в обычном режиме.
Логи нужны новые, будем смотреть выжил зловред или нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Исходящий трафик сейчас не превышает входящий,инет вроде работает нормально.
Карантин:
Файл сохранён как080626_020834_2008-06-26_4863407249bc0.zipРазмер файла51835MD5ea4fb9124c6225dac6b834759bba091a
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
-
Осталось немного подчиститься.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Scv04');
DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Сделать новые логи с п.10 Желательно обновить версию антивируса, 7-ка ловит значительно больше.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Вот новые логи,инет работает но немного тормозно.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
-
Удаление прошло успешно.
На вашем компьютере работает потенциально опасный функционал:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Мы можем отключить данный функционал. Используете ли вы в работе какую-либо из указанных функций?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 58
В принципе необходимые службы можно отключить это я знаю как,вопрос только как все сделать что написано в пункте безопасность?
И еще вопрос для чего нужна эта служба?
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).
И еще,на сколько я слышал при остановке этой службы не будет дефрагментироватся MFT(кажется,но точно не помню)?
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
Большое спасибо за поддержку и готовность помочь ))
-
Сообщение от
N0ax
И еще вопрос для чего нужна эта служба?
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).
Поиск доступных сетевых ресурсов и автоматическое занесение их в Моё сетевое окружение. Лично я такой самостоятельности не люблю.
Сообщение от
N0ax
И еще,на сколько я слышал при остановке этой службы не будет дефрагментироватся MFT(кажется,но точно не помню)?
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
IMHO, это из области городских легенд. Хотя MS любит нагружать свои софтины попутными функциями.
-