Показано с 1 по 9 из 9.

NOD32 ругается на ws2_32.dll (модифицированный Win32/Patched.P) (заявка № 44505)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    4
    Вес репутации
    32

    Exclamation NOD32 ругается на ws2_32.dll (модифицированный Win32/Patched.P)

    Здравствуйте!
    Хочу поделиться своей проблемой и надеюсь на Вашу помощь в ее решении.
    Некоторое время назад NOD32 начал ругаться на ws2_32.dll, мол содержит "модифицированный Win32/Patched.P". Лечение данного файла невоможно (опция в антивирусе неактивна). Его удаление приводит к неработоспособности системы (попробовал, восстановил копию из dllcache). Какой-либо вирусной активности не заметил, трафик не убегает, подозрительного ничего в системе практически не происходит (Не очень понятно, почему некоторые порты LISTENING при закрытых процессах, но это может мое непонимание...), но сообщение каждый день вылезает и ничего не помогает.

    Еще происходит некоторая странность с Интернет-браузерами и программами, испольующие их движки (WebMoney, например): Opera периодически закрывается с причиной: "Ошибка приложения opera.exe, версия 9.50.10063.0, модуль ws2_32.dll, версия 5.1.2600.5503, адрес 0x00017883."; IE периодически закрывается с причиной: "Ошибка приложения iexplore.exe, версия 6.0.2900.5503, модуль urlmon.dll, версия 6.0.2900.5503, адрес 0x0003b840."

    Необходимые логи прилагаются.
    Просьба помочь в решение проблемы, спасибо!

    P.S. fstarforce - для обхода старфорс защиты, уж извините:(
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O15 - Trusted Zone: *.combats.com
    O15 - Trusted Zone: *.combats.ru
    O15 - Trusted Zone: *.imageshack.us
    O15 - Trusted Zone: *.scrolls.com
    O15 - Trusted Zone: *.scrolls.ru
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\npTVUAx.dll','');
     QuarantineFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll','');
     QuarantineFile('C:\Downloads\keygens.rar','');
     DeleteFile('C:\Documents and Settings\Smile\Local Settings\Temp\iokinjm.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    4
    Вес репутации
    32
    Выполнено. Трастед зоны отключил, хотя там ничего вредоносного нет.
    Да, в карантин прислал два файла: один файл virusinfo_cure.zip, из папки "LOG", второй - архив папки "Infected" после последней проверки (пароль на архив - virus).
    Спасибо.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    iokinjm.dll - not-a-virus:AdWare.Win32.Reklosoft.p
    WS2_32.dll - Trojan.Win32.Patched.di
    Сделайте проверку на файловые вирусы, потом C:\WINDOWS\System32\WS2_32.dll - замените файлом из дистрибутива.
    Перегрузитесь
    Выполните скрипт
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\System32\WS2_32.dll','' );
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    и пришлите новый карантин по правилам.
    Последний раз редактировалось Rene-gad; 25.04.2009 в 10:08.

  6. #5
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    4
    Вес репутации
    32
    Спасибо.
    Но к сожалению, нет дистрибьютива, нет DVD-ROM'ов, восстановить не откуда. (в dllcache тоже вирусная версия). Может быть, подскажите, где взять чистую версию ws2_32.dll версии 5.1.2600.5503 (XP SP3)?

    Добавлено через 1 час 7 минут

    Добавлю:
    После проверки был обнаружен C:\WINDOWS\system32\kcsetu.dll - Win32/Spy.Agent.NLZ троянская программа, удален NOD32 в ходе проверки. Ну и зараженный ws2_32.dll в количестве трех экзмепляров: 1. %systemroot%\system32; 2. dllcache, 3. оперативная память.
    Последний раз редактировалось Smile286; 25.04.2009 в 12:24. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Держите в аттаче
    Пароль: 12345
    Последний раз редактировалось Rene-gad; 18.07.2009 в 18:22.

  8. #7
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    4
    Вес репутации
    32
    Еще раз спасибо.

    ws2_32.dll удаляться, перемещаться etc не захотел, пришлось резать под наркозом. (MSDOS) :-)
    Заменил на присланный Вами файл, хотя он более новой версии, ну и хорошо.
    NOD32 при проверке обнаружил только зараженный ws2_32.dll в dllcache. Как поступать с этим файлом?
    Присылаю карантин. Судя по размеру - все в порядке.

    Добавлено через 19 минут

    Кстати, все ли в порядке с открытыми портами?

    C:\Documents and Settings\Smile>netstat -a

    Активные подключения

    Имя Локальный адрес Внешний адрес Состояние
    TCP trinitron:epmap trinitron:0 LISTENING
    TCP trinitron:microsoft-ds trinitron:0 LISTENING
    TCP trinitron:1025 trinitron:0 LISTENING
    TCP trinitron:30606 trinitron:0 LISTENING
    TCP trinitron:30606 localhost:1143 TIME_WAIT
    TCP trinitron:netbios-ssn trinitron:0 LISTENING
    UDP trinitron:microsoft-ds *:*
    UDP trinitron:isakmp *:*
    UDP trinitron:1028 *:*
    UDP trinitron:4500 *:*
    UDP trinitron:netbios-ns *:*
    UDP trinitron:netbios-dgm *:*
    Последний раз редактировалось Smile286; 25.04.2009 в 17:01. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    С портами в порядке. Этот файлик можете тоже заменить.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\smile\local settings\temp\iokinjm.dll - not-a-virus:AdWare.Win32.Reklosoft.p
      2. c:\windows\system32\ws2_32.dll - Trojan.Win32.Patched.di ( DrWEB: Trojan.Ws232Patcher.4 )


  • Уважаемый(ая) Smile286, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ESED Nod32 ругается на Win32/Virut, Dr. Web молчит
      От kingoleg в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.10.2009, 00:51
    2. Trojan.Win32.Patched.fr как удалить через NOD32..........
      От kykypyky в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2009, 17:24
    3. Win32/Patched.FR - ESET NOD32 очистка невозможна
      От Себастьян Перейро в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.08.2009, 02:37
    4. NOD32 ругается на Win32 Autoit.Gen
      От VADER в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.02.2009, 14:29
    5. Ответов: 3
      Последнее сообщение: 25.12.2008, 17:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01595 seconds with 17 queries