Как удалить socks.exe

[inphinion]

Короче, прицепились какие-то socks.exe - и никак их не удаётся убить окончательно.

Пор загрузке в директории Windows появляются фаилы socks.exe & system.exe и загружают полностью процессор. Уже попробовал всевозможные методы борьбы т.е.

Убиваем процесс из Taskmanager
Удаляем сами фаилы
Удаляем все фаилы из Prefetch директории
Чистим Recycle Bin
В регистре нигде ничего нету напоминающего о этих файлах
Отлючаем "system restore"
Сканируем всё Нортоном - Нортон говорит все чисто
Сканируем AVG - AVG говорит что всё чисто
Устанавливаем latest Windows updates - ok

Перезагружаем компьютер - опять из ниоткуда появляются socks.exe & system.exe


Подскажите, что ещё можно зделать.

[Uzito]

http://securityresponse.symantec.com/av ... adoor.html
http://securityresponse.symantec.com/av ... oor.b.html

Вот для примера что проверять..
т.е. не только в реестре CurrentVersion/Run но и system.ini win.ini

Так же не мешает пройтись Ad-Aware и SpyBot

[inphinion]

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.ciadoor.html
http://securityresponse.symantec.com/av ... oor.b.html

Там о socks.exe & system.exe вроде ничего не написано?

Вот для примера что проверять..
т.е. не только в реестре CurrentVersion/Run но и system.ini win.ini

В system.ini win.ini вроде всё чисто.

[Dweller]

загрузись с компакт-диска в восстанавливающем режиме. тогда должен быть доступ к каталогу Windows
Или можно просто secure mode какой-то, когда он драйвера не грузит.

[inphinion]

Зачем? Файлы socks.exe & system.exe видно невооружённым глазом в директории C:\Window и удаляются они кнопкой Del без проблем.

Вопрос не в том как удалить эти файлы, а что сделать чтобы они опять не появлялись.

[Uzito]

Давайте сюда содержимое
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[Dweller]

Зачем? Файлы socks.exe & system.exe видно невооружённым глазом в директории C:\Window и удаляются они кнопкой Del без проблем.

Вопрос не в том как удалить эти файлы, а что сделать чтобы они опять не появлялись.

А ты все же попробуй мой метод.

[inphinion]

Давайте сюда содержимое
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Тут вроде нет ничего подозрительного

Key Name: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Class Name: <NO CLASS>
Last Write Time: 6/30/2004 - 3:33 PM

Value 0
Name: NvCplDaemon
Type: REG_SZ
Data: RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

Value 1
Name: POINTER
Type: REG_SZ
Data: point32.exe

Value 2
Name: DVDSentry
Type: REG_SZ
Data: C:\WINDOWS\System32\DSentry.exe

Value 3
Name: AdaptecDirectCD
Type: REG_SZ
Data: C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

Value 4
Name: vptray
Type: REG_SZ
Data: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe

Value 5
Name: nwiz
Type: REG_SZ
Data: nwiz.exe /install

Value 6
Name: QuickTime Task
Type: REG_SZ
Data: "C:\Program Files\QuickTime\qttask.exe" -atboottime

Value 7
Name: NeroCheck
Type: REG_SZ
Data: C:\WINDOWS\system32\NeroCheck.exe

Value 8
Name: Opware12
Type: REG_SZ
Data: "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"

Value 9
Name: AVG_CC
Type: REG_SZ
Data: C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

Key Name: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Class Name: <NO CLASS>
Last Write Time: 7/14/2004 - 12:12 PM
Value 0
Name: ctfmon.exe
Type: REG_SZ
Data: C:\WINDOWS\System32\ctfmon.exe

Value 1
Name: NvMediaCenter
Type: REG_SZ
Data: RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

[MaxSt]

Скачайте вот эту утилитку: http://209.133.47.12/~merijn/files/HijackThis.exe

и опубликуйте сюда ее лог.

MaxSt.

[inphinion]

При перезагрузке в директории C:\Windows на самом деле создаётся 4 левых файла:

socks.exe
system.exe
taskmgr.exe
dll.dll

Нортон, AVG, Ad-aware говорят что всё чисто.

Сейчас протестирую с помощью Хайджака.

[inphinion]

Вот скан системы Хайджэком (два экземпляра socks.exe были убиты вручную через Taskmanager):

Logfile of HijackThis v1.98.0
Scan saved at 5:13:40 PM, on 7/14/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\FLUENT.INC\license\ntx86\lmgrd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\FLUENT.INC\license\ntx86\FluentLm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\SYSTEM32\TASKMGR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\DATA\Distributives\Ad-aware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smbusiness.dellnet.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smbusiness.dellnet.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://local.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: InstantChess - {40D61F04-59E4-4C8D-BF6E-697AB9C21F43} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Shortcut to TASKMGR.EXE.lnk = C:\WINDOWS\SYSTEM32\TASKMGR.EXE
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {230C3D02-DA27-11D2-8612-00A0C93EEA3C} (SAXFile FileUpload ActiveX Control) -

http://www.winkflash.com/photo/loaders/SAXFile.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = moyakontora.net
O17 - HKLM\Software\..\Telephony: DomainName = moyakontora.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = moyakontora.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = moyakontora.net
O21 - SSODL: Systask - {7D1AB287-9A08-4F3A-ADD7-55B57EBF1CD6} - dllsys2.dll (file missing)

[Uzito]

O4 - Startup: Shortcut to TASKMGR.EXE.lnk = C:\WINDOWS\SYSTEM32\TASKMGR.EXE

Что это? В принципе так должен называться обычный такс менеджер.
Посмотрите его свойства (Закладка Version)

socks.exe и system.exe в принципе можно блокировать путем создания вместо них файлов-пустышек и установки на него аттрибута Everyone Deny All.

[cityzen]

Check

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell

value

[inphinion]

Check

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell

value

Value = explorer.exe

Вроде здесь тоже всё чисто

[inphinion]

O4 - Startup: Shortcut to TASKMGR.EXE.lnk = C:\WINDOWS\SYSTEM32\TASKMGR.EXE

Что это? В принципе так должен называться обычный такс менеджер.
Посмотрите его свойства (Закладка Version).

Этот мэнаджер хороший - левый создается в C:\WINDOWS\

[inphinion]

socks.exe и system.exe в принципе можно блокировать путем создания вместо них файлов-пустышек и установки на него аттрибута Everyone Deny All.

Uzito, Огромное СПАСИБО!

Создал защищенные файлы-пустышки
socks.exe
system.exe
taskmgr.exe
dll.dll
и теперь всё работает отлично!

[Uzito]

Uzito, Огромное СПАСИБО!
Создал защищенные файлы-пустышки и теперь всё работает отлично!

Ну вот, еще бы было хорошо найти кто вызывает это гадость.
Обязательно пройдитесь теперь по обезвреженой системе как минимум несколькими разными антивирусами (Нортон, DrWeb, Касперский) и всяческими Pest Patrol, SpyBot S&D, Ad-Aware.

Заразу надо искоренять совсем, а не просто деактивировать.

После рекомендую поставить фаервол Tiny Firewall. С ним заразу такую не подцепишь - он контролирует и работу и реестром и с файлами и с сетью.

[inphinion]

Ну вот, еще бы было хорошо найти кто вызывает это гадость.
Обязательно пройдитесь теперь по обезвреженой системе как минимум несколькими разными антивирусами (Нортон, DrWeb, Касперский) и всяческими Pest Patrol, SpyBot S&D, Ad-Aware.

Прошелся указанными - ничего не нашли. Попробовал Spyware Nuker 2004 - тот нашел еще тройку подозрительных *.inf файлов в директории C:/Windows/INF и несколько кукиез.

На всякий случай также удалил указанный Spyware Nuker 2004 из-за обубликованных подозрений что якобы он сам является spyware. После удаления нукера, прошелся Ad-Aware - вроде ничего подозретельного не осталось. Будем надеятся что все вылечилось.

Спасибо всем за ценные советы!

[MaxSt]

Прогоните еще CWShredder:
http://209.133.47.12/~merijn/files/CWShredder.exe

MaxSt.

[RFK]

http://www.pestpatrol.com/pestinfo/r/rsocks_1_2.asp

[inphinion]

http://www.pestpatrol.com/pestinfo/r/rsocks_1_2.asp

Taм к сожалению ничего полезного не написано. Как уже было написано - проблема не в том чтобы найти и удалить эту пару файлов, а в том что они появлялись опять при перезагрузке.