Здравствуйте. У меня на компьютере ругается Касперский 7 на вирус Backdoor.Win32.Haxdoor.kz , такая вроде бы уже тема была но ситуациии разные бывают,говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Printable View
Здравствуйте. У меня на компьютере ругается Касперский 7 на вирус Backdoor.Win32.Haxdoor.kz , такая вроде бы уже тема была но ситуациии разные бывают,говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
1.Базы AVZ обновить и после перезагрузки сделать новые логи.
2.Скачать winsockxpfix, но не запускать
3.Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\kernell.exe','');
QuarantineFile('ntdump.exe','');
QuarantineFile('C:\WINDOWS\system32\t0.dll','');
QuarantineFile('C:\WINDOWS\system32\actcontroller.exe','');
BC_DeleteFile('C:\WINDOWS\kernell.exe');
DeleteFile('C:\WINDOWS\kernell.exe');
DeleteFile('ntdump.exe');
BC_DeleteFile('ntdump.exe');
DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
AVZ вроде справился с вашими зверями, но мы ему еще поможем.
4.Затем второй:
[CODE]begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
1) Базы AVZ обновил вот логи после обновления
2)winsockxpfix скачал вопрос для чего? но не запускал...
3)оба скрипта выполнил карантин загрузил
вот что выдало после выполнения скриптов
По Доктору вебу: C:\WINDOWS\kernell.exe - Trojan.Packed.194
C:\WINDOWS\system32\t0.dll - Trojan-Proxy.Win32.Agent.ra (Касперский)
Это попавшие в карантин. Больше ничего не досталось. Вероятно, антивирус опомнился и съел мою добычу.
Будем удалять всю эту команду.
1. Пофиксите в HijackThis:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,
[/code]
2. Запишите настройки сетевых подключений.
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\t0.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\kernell.exe');
DeleteFile('C:\WINDOWS\system32\actcontroller.exe');
DelSPIByFileName('t0.dll',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
4. После перезагрузки скорее всего пропадет сеть. Запустите скачанную программу и нажмите там Fix. Снова будет перезагрузка. Введите заново сетевые настройки.
5. Сделайте новые логи.
конечно
Странно, вообще-то, откуда они все восстановились? :(
И еще выполните вот такой в защищ. режиме.
[CODE]begin
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('ntdump.exe');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
все сделал вот логи
Все чисто. Только пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
[/code]
спасибо большое
Для профилактики рекомендуется отключить все, что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\kernell.exe - [B]Trojan-Dropper.Win32.Agent.cso[/B] (DrWEB: Trojan.Packed.194)[*] c:\\windows\\system32\\t0.dll - [B]Trojan-Proxy.Win32.Agent.ra[/B] (DrWEB: Trojan.Proxy.2355)[/LIST][/LIST]