Проблема с Hacktool.Rootkit tcpsr.sys
Доброго времени сутокОчень надеюсь на вашу помощь.
Я видел подобные темы но в правилах написано что запрещено выполнять скрипты написанные для других!
При подключении к инету каспер сразу ругается на tcpsr.sys, первые несколько секунд я могу заходить на нужные сайты,а затем начинается очень большая сетевая активность и очень большой исходящий трафик в результате невозможно попасть ни на один сайт!
Выкладываю логи.
С уважением N0ax.
P.S. Комп рабочий установлены Oracl и Альфа Центр
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Сделать новые логи. Прислать карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); SetServiceStart('symavc32', 4); SetServiceStart('Nuw25', 4); QuarantineFile('C:\WINDOWS\System32\Drivers\Nex48.sys',''); SetServiceStart('Nex48', 4); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nex48.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Nex48.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nuw25.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Версию Касперского пора бы обновить, уже давно 7-ка и 8-ка идет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После выполнения скрипта трафик уменьшился и инет держится немного дольше но затем снова все по старому.
Большое спасибо,надеюсь на дальнейшую помощь.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
карантин надо по красной ссылке засылать. Отсюда его надо удалить.
Скачиваем: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
Удаляем в нем через force delete:
C:\WINDOWS\system32\Drivers\Nex48.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
После выполняем еще раз скрипт.
Делаем заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Приветствую Pavel !
Карантин отсюда удалил и закачал через форму:
Файл сохранён как080618_212136_Quarantine_4859c2b0ebb6f.zipРазме р файла52069MD593e13de2008a9ac1f6c088ce858e637e
Файл 1.zip по указанной ссылке скачать не получается, нажимаю download, а в итоге вместо закачки получаю просто обновление страницы.
Поищи IceSword через гугл. У меня сейчас под рукой нет ссылки другой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После проведения всех действий исчезла сетевуха,после повторной перезагрузки все стало нормально,трафик уменьшился но при выходе в инет все равно постепенно нарастает и минут через 5 снова превышивает входящий и страницы не открываются.
карантин:
http://virusinfo.info/showthread.php?t=24809
Файл сохранён как080623_224411_2008-06-24_48606d8b381f7.zipРазмер файла6925MD52e9fdf6a9ee9139bef09dce1199af100
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Зверь на месте остался
Повторяем в IceSword:
C:\WINDOWS\system32\Drivers\Scv04.sys
C:\WINDOWS\System32\drivers\tcpsr.sys - для этих force delete с согласием на послед перезагрузку.
Затем скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Nex48'); SetServiceStart('Nex48', 4); DeleteService('tcpsr'); SetServiceStart('tcpsr', 4); DeleteService('Scv04'); SetServiceStart('Scv04', 4); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Scv04.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Scv04.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nex48.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
При удалении указанных файлов файла C:\WINDOWS\System32\drivers\tcpsr.sys не было,поэтому проделал все исключая этот файл. И еще вопрос обязательно ли все это выполнять в safe mode?
Большое спасибо что не оставляете мои вопросы без ответа
Нет. Это можно делать в обычном режиме.
Логи нужны новые, будем смотреть выжил зловред или нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Исходящий трафик сейчас не превышает входящий,инет вроде работает нормально.
Карантин:
Файл сохранён как080626_020834_2008-06-26_4863407249bc0.zipРазмер файла51835MD5ea4fb9124c6225dac6b834759bba091a
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Осталось немного подчиститься.
Профиксить:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Scv04'); DeleteFile('C:\WINDOWS\System32\Drivers\Scv04.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Сделать новые логи с п.10 Желательно обновить версию антивируса, 7-ка ловит значительно больше.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот новые логи,инет работает но немного тормозно.
Последний раз редактировалось N0ax; 10.07.2008 в 06:20.
Удаление прошло успешно.
На вашем компьютере работает потенциально опасный функционал:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Мы можем отключить данный функционал. Используете ли вы в работе какую-либо из указанных функций?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
В принципе необходимые службы можно отключить это я знаю как,вопрос только как все сделать что написано в пункте безопасность?
И еще вопрос для чего нужна эта служба?
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).
И еще,на сколько я слышал при остановке этой службы не будет дефрагментироватся MFT(кажется,но точно не помню)?
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
Большое спасибо за поддержку и готовность помочь
Поиск доступных сетевых ресурсов и автоматическое занесение их в Моё сетевое окружение. Лично я такой самостоятельности не люблю.Сообщение от N0ax
IMHO, это из области городских легенд. Хотя MS любит нагружать свои софтины попутными функциями.
Уважаемый(ая) N0ax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
