Junior Member
Вес репутации
59
Backdoor.Haxdoor
Добрый день, ситуация следующая:
Каждый раз при загрузке системы, монитор NAV отлавливает
Backdoor.Haxdoor в следующих файлах:
ovwscn.sys
qy.sys
ovrscn.sys
qz.sys
Удаление этих файлов из системы и ссылок на них в реестре ни к чему не привели. Логи прилагаю.
Заранее спасибо за помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\BN930.tmp','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\BN924.tmp','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('mssql.exe','');
QuarantineFile('msime82.exe','');
QuarantineFile('msfun80.exe','');
QuarantineFile('C:\\DOCUME~1\\Flash\\LOCALS~1\\Temp\\Tet-A-Tet\\updater.exe','');
DeleteFile('c:\windows\system32\p3.ini');
DeleteFile('c:\windows\system32\redir2.a3d');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\klogini.dll');
QuarantineFile('C:\WINDOWS\update.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
DeleteService('Rwb83');
DeleteService('Puy26');
DeleteService('ovwscn');
DeleteService('ovrscn');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Swb04.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Swb04.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Puy26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwb83.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('msfun80.exe');
DeleteFile('msime82.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\BN930.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ..
Junior Member
Вес репутации
59
Отправил карантин - к сожалению не все файлы в него попали, т.к. в процессе выполнения скрипта были ошибки, связанные с прямым доступом к памяти.
Логи, также, прилагаю.
Вложения
скачайте C:\WINDOWS\system32\Drivers\Swb04.sys - force delete
Код:
выполните скрипт ...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Yay32');
BC_DeleteSvc('ovrscn');
BC_DeleteSvc('Swb04');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Swb04.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('Yay32.sys');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\BN924.tmp');
DeleteFile('C:\WINDOWS\update.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Swb04.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ..
Junior Member
Вес репутации
59
Готово.
У меня еще вопрос - не подскажете, как убрать автозапуск с жестких и сменных дисков?
Вложения
пофиксите
Код:
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Swb04');
BC_DeleteSvc('ovwscn');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Swb04.sys');
DeleteFile('ovrscn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
mssql.exe - пришлите согласно приложения 2 правил ...
насчет автозапуска есть тема в чаво ...
Junior Member
Вес репутации
59
Скрипт выполнил, а вот указанного файла на дисках нет...
пофиксите ...
Код:
O4 - HKCU\..\Run: [mswindws] mssql.exe
повторите логи ...
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Огромное спасибо за помощь.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\1\\local settings\\temp\\bn924.tmp - Trojan-Downloader.Win32.Mutant.atn (DrWEB: Trojan.DownLoader.59773) c:\\documents and settings\\1\\local settings\\temp\\bn930.tmp - Trojan-Downloader.Win32.Mutant.atn (DrWEB: Trojan.DownLoader.59773) c:\\windows\\system32\\wininet.exe - Backdoor.Win32.Small.dtv (DrWEB: Trojan.Proxy.3260) c:\\windows\\update.exe - Trojan.Win32.Buzus.hbh (DrWEB: BackDoor.Haxdoor.556)