Здравствуйте. У меня на компьютере ругается Касперский на вирус Backdoor.Win32.Haxdoor.kz , говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Printable View
Здравствуйте. У меня на компьютере ругается Касперский на вирус Backdoor.Win32.Haxdoor.kz , говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Пофиксите в HijackThis:
[code]
O2 - BHO: C:\WINDOWS\system32\bvsjds7ehd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing)
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: VStorage - {7D6D387D-00F7-408F-9EF9-7021EADE737C} - swmclip.dll (file missing)
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qz.dll','');
QuarantineFile('C:\WINDOWS\system32\sw24.exe','');
QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\kernel32.exe','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\kernel32.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Довольно странное сочетание у вас: Avast и KAV 5.0. Использовать одновременно более одного антивируса настоятельно не рекомендуется. Я бы советовал удалить обоих и поставить KAV 7.0.
Сделайте новые логи.
Спасибо. Все сделала, выслала карантин. Вот новые логи. Касперский все еще ругается на вирес файл update.exe и на библиотеку ovrscn.ddl. Аваст удалила, если версию Касперского 7.0 поставлю
Судя по логам, все чисто. Осталось только пофиксить строчку:
[code]O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
Файл update.exe в логах не фигурирует.
Найдите его и пришлите согласно приложению 2 правил.
[COLOR=black][FONT=Verdana]С делала, выслала (файл [/FONT][/COLOR][COLOR=black][FONT=Verdana]virus[/FONT][/COLOR][COLOR=black][FONT=Verdana]_[/FONT][/COLOR][COLOR=black][FONT=Verdana]upadte[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR][COLOR=black][FONT=Verdana]zip[/FONT][/COLOR][COLOR=black][FONT=Verdana]). У меня в [/FONT][/COLOR][COLOR=black][FONT=Verdana]regedit[/FONT][/COLOR][COLOR=black][FONT=Verdana]есть записи про OVRSCN, они удаляются, при перезагрузке появляются, но есть группа LEGACY_OVRSCN, которую я не могу стереть.[/FONT][/COLOR]
Ваш update.exe - [b]Backdoor.Win32.Haxdoor.kz[/b]
В системе он не задействован, просто удалите его, да и всю папку, в которой он лежит, для профилактики очистите, это будет только на пользу:
C:\Documents and Settings\user\Local Settings\Temp
Больше ничего подозрительного в логах нет.
Разве что потенциальные уязвимости по традиции советую закрыть:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Если затрудняетесь, просто скажите что нужно / не нужно, напишу скрипт.
Спасибо за помощь. Очистила папку Temp. Но в регистре осталать группа LEGACY_OVRSCN. Службы не нужны все перечистленные.
Вот скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
* Если компьютер в локальной сети с использованием общего доступа к файлам и принтерам, то первую строчку после begin уберите.
Спасибо, вроде Касперский успокоился. Регистр -это не поблема?
А вроде вам советовали удалить касперского ;)Он действительно слаб и уже не поддерживается производителем.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\local settings\\temp\\update.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.363)[*] c:\\windows\\kernel32.exe - [B]Trojan-Banker.Win32.Banker.eir[/B] (DrWEB: Trojan.Proxy.2345)[/LIST][/LIST]