Помогите удалить Backdoor.Win32.Haxdoor.lq

[Ilia]

Я решил проверить свой PC KAV 6.0.2.614 предварительно скачав его с сайта Касперского, запустил и тут он как стал мне выкидывать:
Вот из журнала отчёт сканирования Касперского:
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\SYSTEM32\SVСHOST.EXE//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: c:\windows\system32\сsrss.exe//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\system32\winhlp32.dll//ASPack
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\system32\w32tm.dll//ASPack
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\System Volume
Information\_restore{7729A365-E0A8-4763-A206-37299B7B7365}\RP1\A0000001.EXE//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\System Volume
Information\_restore{7729A365-E0A8-4763-A206-37299B7B7365}\RP1\A0000002.EXE//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\system32\winhelp.ocx//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\System Volume
Information\_restore{7729A365-E0A8-4763-A206-37299B7B7365}\RP1\A0000008.dll//ASPack
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\System Volume
Information\_restore{7729A365-E0A8-4763-A206-37299B7B7365}\RP1\A0000009.ocx//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\System Volume
Information\_restore{7729A365-E0A8-4763-A206-37299B7B7365}\RP1\A0000010.dll//ASPack
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\Recycled\Dc13.exe//FSG//PE_Patch.DotFix
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\WINDOWS\Explorer.EXE
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\Program Files\FilterGate\filtergate.exe
Что мне делать сносить 6.0 (т.к. в версии 5.0 такого не было) заново, устанавливать обратно 5.0 или ставить заново ОС? Помогите, спасибо.

[Geser]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\Drivers\Sfloppy.SYS','');
RebootWindows(true);
end.

После перегрузки пришлите карантин как указано в правилах

[Ilia]

Я всё сделал и как Вы написали и скрипт установил, а всё рвно KAV 6.0 визжит и находит вирусы и предлагает удалить эти файлы т.к. лечение невозможно и вот файлы после работы со скриптом. Но как мне кажется, AVZ4 их не может распознать т.к. они появились совсем недавно т.е. на сайте Касперского написано, что он появился 19.01.2007г. Backdoor.Win32.Haxdoor.lq и написано, что описания его нет!
А может я не прав, я просто не знаю что и делать.

[Зайцев Олег]

Я всё сделал и как Вы написали и скрипт установил, а всё рвно KAV 6.0 визжит и находит вирусы и предлагает удалить эти файлы т.к. лечение невозможно и вот файлы после работы со скриптом. Но как мне кажется, AVZ4 их не может распознать т.к. они появились совсем недавно т.е. на сайте Касперского написано, что он появился 19.01.2007г. Backdoor.Win32.Haxdoor.lq и написано, что описания его нет!
А может я не прав, я просто не знаю что и делать.

Так в чем проблема ? Нужно для начала разрешить KAV удалить все файлы, которые он находит (это Backdoor/Trojan - т.е. лечить там нечего, лечение сводится к уничтожению принадлежащих зловреду файлов - KAV в этом случае как раз и говорит "лечение невозможно, удалить"). Тем более судя по логу часть файлов находятся в папке восстановления системы. Но еще лучше - для начала прислать файлы, на которые ругается KAV, согласно правилам - для проверки, зловред это или ложное срабатывание

[Ilia]

Так в чем проблема ? Нужно для начала разрешить KAV удалить все файлы, которые он находит (это Backdoor/Trojan - т.е. лечить там нечего, лечение сводится к уничтожению принадлежащих зловреду файлов - KAV в этом случае как раз и говорит "лечение невозможно, удалить"). Тем более судя по логу часть файлов находятся в папке восстановления системы. Но еще лучше - для начала прислать файлы, на которые ругается KAV, согласно правилам - для проверки, зловред это или ложное срабатывание

Как я могу позволить удалить т.к. там к примеру есть хорошие программы и приложения (см. выше.) и вдруг вообще РС работать не будет так лучше просто сначала тщательно всё проверить.
А вот файлы которые якобы зараженные:
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\windows\system32\сsrss.exe//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\windows\system32\svсhost.exe//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\System32\winhlp32.dll//ASPack
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\System32\winhelp.ocx//FSG//PE_Patch.DotFix
обнаружено: троянская программа Backdoor.Win32.Haxdoor.lq Файл: C:\WINDOWS\System32\w32tm.dll//ASPack

[Geser]

Написано же русским языком. Троян, нужно удалить. На каком языке Вы хотите что бы Вам объяснили?

[Ilia]

Написано же русским языком. Троян, нужно удалить. На каком языке Вы хотите что бы Вам объяснили?

Он меня просил ещё прислать файлы и я их прислал и вот жду, что Вы скажите т.к. KAV 6.0 говорит, что они заражены, а их проверяли на другом PC и там они здоровые и нормальные, вот поэтому я и жду, что бы мне сказали удалять их или нет т.к. KAV 6.0 ругался и на Explorer.exe и др.

[Geser]

Во первых - логи прикрепляют к теме, а зараженные файлы посылают через отдельную форму, и это описано в правилах.
Во вторых, просили прислать файлы из карантина АВЗ, а не то что Вы прислали.
В третьих, если КАВ написал что троян, значит троян и удалять. Темболее что файлы ваши я проверил, и это трояны на 100%

[Ilia]

Во первых - логи прикрепляют к теме, а зараженные файлы посылают через отдельную форму, и это описано в правилах.
Во вторых, просили прислать файлы из карантина АВЗ, а не то что Вы прислали.
В третьих, если КАВ написал что троян, значит троян и удалять. Темболее что файлы ваши я проверил, и это трояны на 100%

Я просто был не внимателен и теперь отсылаю как Вы просили этот файл из AVZ4 , а затем буду с помощью KAV 6.0 удалять файлы трояна. Спасибо.

[Geser]

Скрипт который я написал был выполнен?

[Зайцев Олег]

Я просто был не внимателен и теперь отсылаю как Вы просили этот файл из AVZ4 , а затем буду с помощью KAV 6.0 удалять файлы трояна. Спасибо.

Пришел файл CatchOp.dll - он чистый, от Reget. Я понял, в чем заковыка ... пришлите согласно правилам файлы:
C:\windows\system32\сsrss.exe
C:\windows\system32\svсhost.exe
C:\WINDOWS\System32\winhlp32.dll
C:\WINDOWS\System32\winhelp.ocx
C:\WINDOWS\System32\w32tm.dll
При это обязательно обратите внимание на то, что в файле сsrss.exe первая буква русская ! Аналогично в файле svсhost.exe - там русская третья буква. Т.е. визуально эти имена похожи на имена системных объектов, но это только визуально. Карантин файлов я советую сделать скриптом:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\windows\system32\сsrss.exe,'');
 QuarantineFile('C:\windows\system32\svсhost.exe','');
 QuarantineFile('C:\WINDOWS\System32\winhlp32.dll','');
 QuarantineFile('C:\WINDOWS\System32\winhelp.ocx','');
 QuarantineFile('C:\WINDOWS\System32\w32tm.dll','');
 RebootWindows(true);
end.

[Ilia]

Пришел файл CatchOp.dll - он чистый, от Reget. Я понял, в чем заковыка ... пришлите согласно правилам файлы:

Уже видимо поздно т.к. я как Вы мне сказали удалил все эти файлы с помощью KAV 6.0 и вроде бы перестал визжать и PC работает. Поэтому скажите нужно ли мне всё таки по ним пройтись ещё Вашим скриптом?! Спасибо.
P.S.
Я хотел всё же выполнить Ваш скрипт через AVZ4, но он мне сказал, что не может выполнить т.к. синтаксис не позволяет!

[Ilia]

Зайцев Олег
Geser
Большое Вам спасибо, хотя я не смог выполнить последний ваш скрипт, но как мне кажется я его удалил с помощью первого скрипта и KAV 6.0, ещё раз Спасибо!!!

[pig]

Сделайте новые логи. Посмотрим, кажется или на самом деле.

[Ilia]

Зайцев Олег

При это обязательно обратите внимание на то, что в файле сsrss.exe первая буква русская ! Аналогично в файле svсhost.exe - там русская третья буква. Т.е. визуально эти имена похожи на имена системных объектов, но это только визуально. Карантин файлов я советую сделать скриптом:

Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\windows\system32\сsrss.exe,'');
QuarantineFile('C:\windows\system32\svсhost.exe',' ');
QuarantineFile('C:\WINDOWS\System32\winhlp32.dll', '');
QuarantineFile('C:\WINDOWS\System32\winhelp.ocx',' ');
QuarantineFile('C:\WINDOWS\System32\w32tm.dll','') ;
RebootWindows(true);
end.

Извините, но мне кажется, что в Вашем скрипте пропущен знак (') т.е. фраза должна быть наверное такой:
QuarantineFile('C:\windows\system32\сsrss.exe','') ; и видимо поэтому AVZ4 не смог его выполнить?
pig

Сделайте новые логи. Посмотрим, кажется или на самом деле.

Вот мои новые логи. Спасибо.
P.S.
Я с помощью KAV 6.0 удалил зараженные файлы, а потом везде во всех отчётах KAV 6.0 от них очистил информацию, но при перезапуске PC они вновь появились в "Резервном хранилище", а зачем они вообще нужны можно ли их вообще удалить с PC?

"Резервное хранилище"
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\windows\system32\svсhost.exe 35.2 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\windows\system32\сsrss.exe 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\windows\system32\winhlp32.dll 30.5 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\windows\system32\winhelp.ocx 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\windows\system32\w32tm.dll 57 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\system volume information\_restore{7729a365-e0a8-4763-a206-37299b7b7365}\rp1\a0000010.exe 35.2 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\system volume information\_restore{7729a365-e0a8-4763-a206-37299b7b7365}\rp1\a0000011.exe 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\system volume information\_restore{7729a365-e0a8-4763-a206-37299b7b7365}\rp1\a0000023.dll 30.5 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\system volume information\_restore{7729a365-e0a8-4763-a206-37299b7b7365}\rp1\a0000024.ocx 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq c:\system volume information\_restore{7729a365-e0a8-4763-a206-37299b7b7365}\rp1\a0000025.dll 57 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq d:\recycled\dd9.exe 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq d:\recycled\dd10.exe 35.2 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq d:\recycled\dd11.dll 30.5 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq d:\recycled\dd12.ocx 64.7 КБ
Заражен: троянская программа Backdoor.Win32.Haxdoor.lq d:\recycled\dd13.dll 57 КБ

И ещё почему-то у меня KAV 6.0 до сих пор пишет в отчётах, что
Процесс C:\WINDOWS\Explorer.EXE, обнаружено: потенциально опасное ПО 'Invader (loader)' (модификация).
Процесс D:\Program Files\FilterGate\filtergate.exe, обнаружено: потенциально опасное ПО 'Invader (loader)' (модификация).
Что мне с ними делать и как можно проверить их т.к. KAV 6.0 на них не визжит, но в отчётах их постоянно пишет, разделы "лечить" "удалить" не высвечиваются, а есть в меню пункт "добавить в доверенную зону .."? Спасибо.:

[Geser]

Вот этот файл пришлите
C:\WINDOWS\System32\Drivers\Sfloppy.SYS

[Ilia]

Geser

Вот этот файл пришлите
C:\WINDOWS\System32\Drivers\Sfloppy.SYS

Вот этот файл , спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены