Подцепил вирус HaxDoor Trojan. NOD32 его обнаруживает, но не лечит

Симптомы: NOD32 при проверке компа ругается, что обнаружены файлы ovrscn.dll и ovwscn.sys, зараженные HaxDoor Trojan. После чего выдает запрос на их удаление и вроде бы удаляет, но после перезагрузки все опять повторяется. Также в папке Temp личных настроек юзера появляется exe файл с неким длинным системным названием в фигурных скобках (к сожалению название не записал), также зараженный HaxDoor Trojan. Основная проблема в том, что не могу с этого компа (это мой домашний) выйти в интернет, поскольку сетевое подключение "Локальная сеть" при включении становиться "Недоступно или отсутствует" и отрисовывается с восклицательным знаком. Есть подозрение что это тоже проделки этого вируса.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('r4549w32.dll','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\qz.sys','');
QuarantineFile('C:\WINDOWS\system32\qz.dll','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('r4549w32.dll');
ExecuteRepair(14);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11862[/url]
Повторите логи
[COLOR="Red"][B]Внимание если сеть и интернет не будут работать,то воспользуйтесь утилитой [URL="http://www.veldhuizen.speedxs.nl/winsockxpfix.exe"]WinsockFix[/URL],она сбрасывает все настройки на дефолт,поэтому запомните свои.[/B][/COLOR]

спасибо, вечером дома проверю, завтра вышлю результаты

Сделал как было рекомендовано, результаты прилагаю.
Карантин virus.zip закачал по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=11862[/URL]
Результат загрузки
Файл сохранён как070823_065947_virus_46ccf83a05dd6.zipРазмер файла59059MD555731deb79d9448b5ddf90986308642b

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SysCleanAddFile('ovrscn.dll');
ExecuteRepair(6);
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O21 - SSODL: 629953 - {00000969-4321-1234-4321-0A1B2C3D4E99} - (no file)
[/CODE]
Проблема исчезла?Как я понимаю сеть теперь работает?
Повторите логи.

Сеть вчера не проверял, но при попытке открыть параметры Брандмауэра, ругается, что "невозможно открыть параметры Брандмауэра по неизвестной причине", сейчас я с работы.
Рекомендации сделаю, только получится немного с задержкой, т.к. зараженный комп - домашний.
А утилита, которая фиксит сеть - ее можно запускать независимо от окончания лечения от трояна, или лучше подождать?

Если сети не будет(но судя по логам должна уже работать),то тогда запустите утилиту и если можно скрин ошибки брандмауэра(если она снова будет).

Сеть заработала, после выполнения скриптов и применения winsockxpfix.exe :)
Все рекомендации сделал, высылаю логи.
Брандмауэр не запускается, скриншот ошибки не влез во вложения, в общем вылезает диалоговое окно с заголовком "Брандмауэр Windows", кнопкой "ОК" и текстом "Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows".

кстати, я могу удалить логи от 22 и 21 августа?
а то места уже нет

В логах всё чисто,вот решение вашей проблемы [url]http://support.microsoft.com/kb/920074/ru[/url]
о результатах сообщите :)

Прблему с брандмауэром решил, все нормально, спасибо. Сеть и интернет заработали.
Но, кстати при проверке NOD32-ом в папке windows\system32 обнаружился файлик qy.sys зараженный все тем же Haxdoor - ом.
После удаления и нескольких циклов Перезагрузок/проверок вроде бы больше не появлялся.
И в папке пользователя local settings\temp был батник с длинным наименованием. после удаления вроде больше не появляется. Логи сегодня сделаю вечером и выложу еще раз.

Ну вот и хорошо,ждём логов,чтоб вынести окончательный вердикт ;)

может это просто неудаленные следы после лечения?

Вот будут логи, тогда и узнаем.

Собственно логи

[quote=marvak;129943]Собственно логи[/quote]...и вроде чистые. Проблема еще присутствует?

Логи чистые,для надёжности можете почистить папку пользователя local settings\temp
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

Большое спасибо! :)
Насчет пополнения базы безопасных файлов - обязательно постараюсь сделать. Удачи Вам в Вашем правом деле! :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\userinit.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]