Подцепил вирус HaxDoor Trojan. NOD32 его обнаруживает, но не лечит

[marvak]

Симптомы: NOD32 при проверке компа ругается, что обнаружены файлы ovrscn.dll и ovwscn.sys, зараженные HaxDoor Trojan. После чего выдает запрос на их удаление и вроде бы удаляет, но после перезагрузки все опять повторяется. Также в папке Temp личных настроек юзера появляется exe файл с неким длинным системным названием в фигурных скобках (к сожалению название не записал), также зараженный HaxDoor Trojan. Основная проблема в том, что не могу с этого компа (это мой домашний) выйти в интернет, поскольку сетевое подключение "Локальная сеть" при включении становиться "Недоступно или отсутствует" и отрисовывается с восклицательным знаком. Есть подозрение что это тоже проделки этого вируса.

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('r4549w32.dll','');
 QuarantineFile('ovrscn.dll','');
 QuarantineFile('C:\WINDOWS\system32\qz.sys','');
 QuarantineFile('C:\WINDOWS\system32\qz.dll','');
 QuarantineFile('C:\WINDOWS\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
 DeleteFile('C:\WINDOWS\userinit.exe');
 DeleteFile('C:\WINDOWS\system32\qz.dll');
 DeleteFile('C:\WINDOWS\system32\qz.sys');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('r4549w32.dll');
 ExecuteRepair(14);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11862
Повторите логи
Внимание если сеть и интернет не будут работать,то воспользуйтесь утилитой WinsockFix,она сбрасывает все настройки на дефолт,поэтому запомните свои.

[marvak]

спасибо, вечером дома проверю, завтра вышлю результаты

[marvak]

Сделал как было рекомендовано, результаты прилагаю.
Карантин virus.zip закачал по ссылке http://virusinfo.info/upload_virus.php?tid=11862
Результат загрузки
Файл сохранён как070823_065947_virus_46ccf83a05dd6.zipРазмер файла59059MD555731deb79d9448b5ddf90986308642b

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SysCleanAddFile('ovrscn.dll');
ExecuteRepair(6);
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O21 - SSODL: 629953 - {00000969-4321-1234-4321-0A1B2C3D4E99} - (no file)

Проблема исчезла?Как я понимаю сеть теперь работает?
Повторите логи.

[marvak]

Сеть вчера не проверял, но при попытке открыть параметры Брандмауэра, ругается, что "невозможно открыть параметры Брандмауэра по неизвестной причине", сейчас я с работы.
Рекомендации сделаю, только получится немного с задержкой, т.к. зараженный комп - домашний.
А утилита, которая фиксит сеть - ее можно запускать независимо от окончания лечения от трояна, или лучше подождать?

[Muzzle]

Если сети не будет(но судя по логам должна уже работать),то тогда запустите утилиту и если можно скрин ошибки брандмауэра(если она снова будет).

[marvak]

Сеть заработала, после выполнения скриптов и применения winsockxpfix.exe
Все рекомендации сделал, высылаю логи.
Брандмауэр не запускается, скриншот ошибки не влез во вложения, в общем вылезает диалоговое окно с заголовком "Брандмауэр Windows", кнопкой "ОК" и текстом "Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows".

[marvak]

кстати, я могу удалить логи от 22 и 21 августа?
а то места уже нет

[Muzzle]

В логах всё чисто,вот решение вашей проблемы http://support.microsoft.com/kb/920074/ru
о результатах сообщите

[marvak]

Прблему с брандмауэром решил, все нормально, спасибо. Сеть и интернет заработали.
Но, кстати при проверке NOD32-ом в папке windows\system32 обнаружился файлик qy.sys зараженный все тем же Haxdoor - ом.
После удаления и нескольких циклов Перезагрузок/проверок вроде бы больше не появлялся.
И в папке пользователя local settings\temp был батник с длинным наименованием. после удаления вроде больше не появляется. Логи сегодня сделаю вечером и выложу еще раз.

[Muzzle]

Ну вот и хорошо,ждём логов,чтоб вынести окончательный вердикт

[marvak]

может это просто неудаленные следы после лечения?

[Muzzle]

Вот будут логи, тогда и узнаем.

[marvak]

Собственно логи

[Rene-gad]

Собственно логи

...и вроде чистые. Проблема еще присутствует?

[Muzzle]

Логи чистые,для надёжности можете почистить папку пользователя local settings\temp
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[marvak]

Большое спасибо!
Насчет пополнения базы безопасных файлов - обязательно постараюсь сделать. Удачи Вам в Вашем правом деле!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)