Показано с 1 по 19 из 19.

Win32\TCPZA и Win32\CMDOW.143 (заявка № 51063)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32

    Thumbs up Win32\TCPZA и Win32\CMDOW.143

    Сначала комп ругнулся, что какое-то приложение FLASH допустило ошибку и будет закрыто.
    Затем NOD32 ругнулся вирусом Win32\TCPZ.A приложение на файл C:\Windows\system32\drivers\srwsvc.sys (событие в новом файле, созданном приложением c:\patch.exe) и что он будет помещен в карантин

    Появилось консольное окно, что файл по адрессу будет закрыт из-за ошибки
    C:\Patch.exe (его описание FlashFXP Copyright© 1998-2005 IniCom Networks, Inc. 3.4.0.1145)

    Затем в логах вируса Nod32 есть еще один Win32\CMDOW.143 приложение

    при обоих в разделе "Действие" стоит "Ошибка при очистка - действие недоступно"

    Затем окна интернет-браузера стали медленно открываться, хотя аудиопоток через интернет идет нормально и аська работает
    Вложения Вложения
    Последний раз редактировалось goutsoullac; 31.07.2009 в 03:20. Причина: опечатка

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Вот нашел об этом

    Description
    Win32/Tcpz.A is a trojan that is usually installed and run as a malware component by other malware such as Win32/IRCBot or Win32/Rbot variants.
    Back to top
    Method of Infection
    Win32/Tcpz.A is often dropped and run by other malware such as Win32/IRCBot or Win32/Rbot variants, to further their malicious activities on a compromised system. It is usually dropped as "sysdrv32.sys" in the %System%\drivers\ folder.



    The malware that drops Win32/Tcpz.A then registers the .SYS file as a device driver, adding either the following registry entries:



    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Ty pe = 0x00000001
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\St art = 0x00000003
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Er rorControl = 0x00000001
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Im agePath = "%System%\drivers\sysdrv32.sys"
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Di splayName = "Play Port I/O Driver"
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Gr oup = "SST miniport drivers"



    or these registry entries:



    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Ty pe = 0x00000001
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\St art = 0x00000003
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Er rorControl = 0x00000001
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Im agePath = "%System%\drivers\sysdrv32.sys"
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Di splayName = "Host Port I/O Driver"
    HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Gr oup = "SST miniport drivers"



    Note: %System% is a variable location. The malware determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; for XP and Vista is C:\Windows\System32.

    Добавлено через 5 часов 57 минут

    Да, вот что. Перед созданием логов сканировал систему в безопасном режиме Dr. Web CureIt!, но он ничего не показал, удалив несколько троянов. Далее комп вел себя также.

    Затем, уже после отправки запроса Вам, решил на ночь проверить и AVPTool'ом, и он сразу же нашел:

    Net-Worm.Win32.Kolab.def

    Worm.Win32.AutoRun.ezt

    Trojan-Clicker.HTML.IFrame.aga

    Притом вставив затем флешку, на ней также обнаружился Net-Worm.Win32.Kolab.def

    Т.е. ДокторВеб и Нод не видели, а собственно Касперский помог.

    Теперь якобы все работает нормально. Сообщения о Win32\TCPZ.A не появлялось.
    Но ведь этого вируса в списке обнаруженых не было

    Если надо, то логи чуть позже вышлю. Но пока прошу не удалять тему.

    Добавлено через 1 минуту
    Последний раз редактировалось goutsoullac; 31.07.2009 в 09:58. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  5. #4
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    После того, как сделал логи диагностики по пункту 2 НОД выдал
    c:\windows\system32\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
    c:\documents and settings\user.comp.000\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
    C:\WINDOWS\system32\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
    Якобы он их затем удалил, но при перезапуске системы вновь обнаружил вирус и поставил его на карантин
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Обновления безопасности на Windows надо устанавливать.

  7. #6
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Но как их удалить? Файл из которого происходит угроза, известен Windows\system32\ms18_word.exe но не удаляется

    К тому же это все началось с того, что я захотел установить обновления!!!
    Последний раз редактировалось goutsoullac; 01.08.2009 в 00:06.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('I:\autorun.inf','');
     DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
     QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
     DeleteFile('I:\autorun.inf');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (весь комплект)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Файл сохранён как 090801_022026_virus_4a736e2a9a38c.zip
    Размер файла 3223
    MD5 07373452a55936952f946ce0463c9117

    http://virusinfo.info/showthread.php?t=51063

    Логи.

    Все равно пропадал минут через 10 интернет (но аська продолжала работать). Снес НОД32 и установил Нортон Антивирус 2010 Бета и он обнаружил C:\windows\msudp32.exe (W32.Spybot.Worm). После его удаления (с сообщением что после загрузки) интернет страницы снова стали открываться и скорость стала нормальная.
    . Пока сканирую систему им. Далее сообщу.

    P.S. Нортон нашел несколько частей W32.Spybot.Worm и сообщил, что удалил. Но так как при перезагрузке сонар Нортона вновь выдал сообщение о помещении в карантин bna.tmp, bnb.tmp, думаю, что он не удалился. c:\windows\system32\ms18_word.exe и дальше заражен.
    Вложения Вложения
    Последний раз редактировалось goutsoullac; 01.08.2009 в 11:25. Причина: дополнение

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Вот теперь все вылезло
    bna.tmp, bnb.tmp где появляются?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\User.COMP.000\ms18_word.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     TerminateProcessByName('c:\windows\msudp32.exe');
     QuarantineFile('c:\windows\msudp32.exe','');
     TerminateProcessByName('c:\windows\system32\ms18_word.exe');
     QuarantineFile('c:\windows\system32\ms18_word.exe','');
     DeleteFile('c:\windows\system32\ms18_word.exe');
     DeleteFile('c:\windows\msudp32.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\Documents and Settings\User.COMP.000\ms18_word.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Карантин
    Файл сохранён как 090801_203223_virus_4a746e1782464.zip
    Размер файла 52134
    MD5 af7484101d691b5347b04aba0f8c0976

    О bna.tmp, bnb.tmp сообщает тольк Нортон Антивирус, говоря, что удаляет их. Полного пути не указывает.

    c:\windows\system32\ms18_word.exe больше не видно и он также не висит как главный над процессом svchost.exe

    О вирусе также нашел тут http://www.virusremovalguru.com/?p=3184&lang=ru (кодировка страницы KOI8-R).

    Логи сделаю.

    P.S. Насколько помню, вирус подцепил в момент регистрации на сайте www.liberty.ru
    Последний раз редактировалось AndreyKa; 01.08.2009 в 22:41. Причина: деактивация ссылки

  12. #11
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Логи прилагаю.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пришлите файл
    Код:
    C:\Program Files\russradio\russradio.chm
    так, как сказано в приложении 2 Правил.
    Обновите Java.

  14. #13
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Файл сохранён как 090802_014010_rus-radio_4a74b63a5cd40.zip
    Размер файла 580
    MD5 983bb906faf2b2b28eb2a0e4ee81540b

    Обновил
    Последний раз редактировалось goutsoullac; 02.08.2009 в 00:46.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вы прислали ссылку на файл russradio.chm, а не сам файл.

  16. #15
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Как же я так лоханулся?
    Выслал
    Файл сохранён как 090802_204100_russradio_4a75c19c6565d.zip
    Размер файла 16368
    MD5 e65928493be200a8da77eb777fb26637

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    russradio.chm безопасный.
    Как компьютер работает?

  18. #17
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Пока что все нормально. Сонар Нортон АнтиВирус сообщений никаких не выдает.

  19. #18
    Junior Member Репутация
    Регистрация
    27.04.2009
    Адрес
    Украина
    Сообщений
    24
    Вес репутации
    32
    Всего два раза после лечения произошел BSOD - 0x000000F4

    Может он быть связан с этим вирусом или это уже что-то другое?

    Ошибка эта у меня появляется как следствие
    Сбой при запуске службы "Windows User Mode Driver Framevork" из-за ошибки
    Служба не ответила на запрос своевременно (код 7000)

    или
    Таймаут (300000 мс) ожидания для службы "Windows User Mode Driver Framevork" (Код 7009).

    Также в устройствах указывается ошибка SM Контроллера шины (но оно давно так стоит и ошибок раньше не было).
    Вот данные о проблемном устройстве:
    ID устройства PCI\VEN_10DEDEV_00E4SUBSYS_813F1043REV_A1\3267A616 A009
    Статус 0x01802400 Has Problem
    Проблема 0x0000001c (28 )
    PCI шина 0, устройство 1, функция 1
    Номер шины 0x00000000
    Описание SM контролер шины

    Минидампы не сохраняются, поэтому определить драйвер не могу.

    Файл подкачки - 1920 -3840 Мб
    Свободно - 28188 Мб
    ОЗУ - 1,25 Гб

    тут мне не ответили http://forum.ixbt.com/topic.cgi?id=22:67357
    Последний раз редактировалось goutsoullac; 07.08.2009 в 20:39.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user.comp.000\ms18_word.exe - Trojan.Win32.Agent2.kzp ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Downloader.Cutwail.L )
      2. c:\windows\system32\ms18_word.exe - Trojan.Win32.Agent2.kzp ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Downloader.Cutwail.L )


  • Уважаемый(ая) goutsoullac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 21.02.2010, 22:09
    2. Вирус win32/cmdow.142 приложение
      От Блинов Игорь Иванови в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.02.2009, 16:51
    3. Ответов: 2
      Последнее сообщение: 22.02.2009, 09:36
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    5. Win32/CMDOW.142
      От emae в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01260 seconds with 17 queries