Не могу вылечить Haxdoor.

Printable View

12.07.2007, 19:03
Keo

Вложений: 4

Не могу вылечить Haxdoor.

Все темы прочитал касающиеся этого вируса, но ничего не помогло. Прощу о помощи.
12.07.2007, 19:13
PavelA

1.Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\klogini.dll','');
QuarantineFile('c:\windows\system32\fltr.a3d','');
QuarantineFile('c:\windows\system32\redir2.a3d','');
QuarantineFile('c:\windows\system32\p3.ini','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки загрузить карантин по ссылке вверху темы.
2.Антивирус Симантек/Нортон у Вас живой? Если нет, то нужно ставить что-нибудь для защиты.
3.Файл карантина удалите из темы.
12.07.2007, 19:24
Макcим

В удаленном карантине:
ovrscn.dll - [B]Backdoor.Win32.Haxdoor.kz[/B]
qz.dll - [B]Backdoor.Win32.Haxdoor.kz[/B]
12.07.2007, 19:24
Keo

1. Скрипт выполнил.
2. Нортон живой, просто удалял на время AVZ
3. Что это за файл и как его удалить?
12.07.2007, 20:12
PavelA

[QUOTE='Keo;122435']3. Что это за файл и как его удалить?[/QUOTE]
Модераторы уже сработали. THK Maxim

Карантин загрузил после скрипта?
12.07.2007, 20:23
Макcим

[QUOTE='PavelA;122450']Модераторы уже сработали. THK Maxim[/QUOTE]Всегда пожалуйста :)
12.07.2007, 20:49
Keo

Карантин загрузил. С нетерпением жду ) Спасибо.
12.07.2007, 22:39
Макcим

Вы сами удаляли какие-нибудь файлы с карантина?
13.07.2007, 06:57
Keo

Нет не удалял.

[size="1"][color="#666686"][B]Добавлено через 44 минуты[/B][/color][/size]
Отправил карантин еще раз вместе с логом.
13.07.2007, 07:37
Muzzle

Если интересно,то вот описание вашего зверька
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=76809[/url]

[B]cz.dll,drct16.dll,hz.sys,vdmt16.sys,winlow.sys,wz.sys[/B] - поищите эти файлы при помощи AVZ-- сервис --поиск фалов на диске,если найдутся то удалите их.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\redir2.a3d');
DeleteFile('c:\windows\system32\p3.ini');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('ovrscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
BC_DeleteFile('ovrscn.dll');
BC_DeleteFile('c:\windows\system32\klogini.dll');
BC_DeleteFile('c:\windows\system32\fltr.a3d');
BC_DeleteFile('c:\windows\system32\redir2.a3d');
BC_DeleteFile('c:\windows\system32\p3.ini');
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_del.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
2.Потом второй скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\actmovie.dll','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('c:\windows\system32\actmovie.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11024[/url]

3.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
[/CODE]
4.после выполните снова логи и прикрепите файлик [B]boot_del.log[/B] из директории AVZ.
13.07.2007, 08:40
Keo

А удалять файлы и выполнять скрипты в каком режиме надо делать? В безопасном или обычном? И после первого скрипта машина перезагрузится это правильно?
13.07.2007, 08:58
Muzzle

Скрипты выполнять в обычном режиме,после обоих скриптов машина перезагрузиться.
13.07.2007, 09:25
Keo

Отправил новый карантин и прикрепил новый лог от hijacka. Вроде все вычистилось.... не знаю правда надолго?

(( сеть 30 компов пришел 2 недели назад, никакой централизации.... из машин и ОС зоопарк... ужасть... не знаю за что хвататся....

делаю образ SP2 с новыми обновлениями, думаю ставить на все чистую установку.... может поможет...
13.07.2007, 10:33
Muzzle

c:\windows\system32\actmovie.dll - инфицирован [B]Trojan-Spy.Win32.BZub.bm[/B]
C:\WINDOWS\userinit.exe - инфицирован [B]Backdoor.Win32.Haxdoor.kz[/B]
(по Касперскому)
они должны были удалиться после скрипта.Вы искали файлы которые я просил?
И где новые логи?(нужны все три)
а [B]boot_del.log [/B]тоже потеряли?
13.07.2007, 12:18
Keo

Вложений: 3

Файлы искал, таких файлов нет ни одного. (Возможно из за Симантека)

Логи прикрепил. правильно? Все?

Еще раз спасибо...
13.07.2007, 12:30
Muzzle

Главное мы сделали ;) логи чистые,осталось только почистить мусор
пофиксите
[CODE]O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - file://\IsaVPHOMECLT-INSTWEBINSTwebinst.cab
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
[/CODE]

Checkcfg - сами устанавливали?
13.07.2007, 16:20
Keo

Checkcfg сами.

остальное почищу...

Огромное спасибо!

Только я так и непонял, какой скрипт мне помог? или их все 4 надо запускать по очереди?
13.07.2007, 16:29
Muzzle

Помогли все скрипты ;) но для каждой проблемы они индивидуальны!
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\actmovie.dll - [B]Trojan-Spy.Win32.BZub.bm[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\windows\\system32\\ovrscn.dll - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.440)[*] c:\\windows\\system32\\qz.dll - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.440)[*] c:\\windows\\userinit.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]