Все началось с ovrscn.sys - Win32/Haxdoor

Помогите, пожалуйста.

Nod в степени свежести на 21.03.08 начал ругаться на [FONT=Times New Roman][FONT=Verdana][SIZE=2]ovrscn.sys - Win32/Haxdoor. После запуска глубокого сканирования зараженные файлы просил подтверждения на удаление инфицированных файлов и перезагрузку, но это не помогало. [/SIZE][/FONT][/FONT]

[FONT=Times New Roman][FONT=Verdana][SIZE=2]Сегодня обновил базу nod до актуального состояния и провел глубокий анализ.[/SIZE][/FONT][/FONT]

[FONT=Times New Roman][FONT=times new roman][SIZE=1]C:\Documents and Settings\user\Local Settings\Temp\sv32_0.exe - Win32/PSW.LdPinch.GHT троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\Documents and Settings\user\Local Settings\Temp\{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe - Win32/Haxdoor троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\Documents and Settings\user\Local Settings\Temp\0\svchost.exe - Win32/PSW.LdPinch.GHT троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\Documents and Settings\user\Local Settings\Temp\2\svchost.exe - Win32/Srizbi.Gen троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\Documents and Settings\user\Local Settings\Temp\3\svchost.exe - модифицированный Win32/Injector.Z троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\WINDOWS\system32\ovrscn.sys - Win32/Haxdoor троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\WINDOWS\system32\ovwscn.sys - Win32/Haxdoor троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\WINDOWS\system32\qy.sys - Win32/Haxdoor троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\WINDOWS\system32\qz.dll - Win32/Haxdoor троян[/SIZE][/FONT]
[FONT=times new roman][SIZE=1]C:\WINDOWS\system32\qz.sys - Win32/Haxdoor троян[/SIZE][/FONT]

Удалять их nod не предлагал, просто выдал результаты.

Проверил cureit с cd в безопасном режиме. Обнаружились и удалились:

[FONT=Times New Roman]comrep.dll;c:\windows\system32;Trojan.DownLoader.54066;Удален.;[/FONT]
[FONT=Times New Roman]oig32.sys;c:\windows\system32\drivers;Trojan.Spambot.2830;Удален.;[/FONT]
[FONT=Times New Roman]ovrscn.sys;c:\windows\system32;BackDoor.Haxdoor.454;Удален.;[/FONT]
[FONT=Times New Roman]ovwscn.sys;c:\windows\system32;BackDoor.Haxdoor.440;Удален.;[/FONT]
[FONT=Times New Roman]svshost.dll;c:\windows\system32;Trojan.Proxy.3056;Удален.;[/FONT]
[FONT=Times New Roman]2.tmp;C:\;Trojan.Spambot.3099;Удален.;[/FONT]
[FONT=Times New Roman]a1-231[1].dat;C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NHD0CDFE;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]a1-231[2].dat;C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NHD0CDFE;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]a1-231[3].dat;C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NHD0CDFE;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]iexplorer.exe;C:\Documents and Settings\user;Trojan.PWS.Pace;Удален.;[/FONT]
[FONT=Times New Roman]IH2F82.tmp;C:\Documents and Settings\user\Local Settings\Temp;Trojan.Packed.147;Удален.;[/FONT]
[FONT=Times New Roman]PLUG1.EXE;C:\Documents and Settings\user\Local Settings\Temp;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]sv32_0.exe;C:\Documents and Settings\user\Local Settings\Temp;Trojan.PWS.LDPinch.1941;Удален.;[/FONT]
[FONT=Times New Roman]sv32_1.exe;C:\Documents and Settings\user\Local Settings\Temp;Trojan.MulDrop.13597;Удален.;[/FONT]
[FONT=Times New Roman]svc32_0.exe;C:\Documents and Settings\user\Local Settings\Temp;Trojan.PWS.LDPinch.1941;Удален.;[/FONT]
[FONT=Times New Roman]{9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe;C:\Documents and Settings\user\Local Settings\Temp;BackDoor.Haxdoor.363;Удален.;[/FONT]
[FONT=Times New Roman]svchost.exe;C:\Documents and Settings\user\Local Settings\Temp\0;Trojan.PWS.LDPinch.1941;Удален.;[/FONT]
[FONT=Times New Roman]svchost.exe;C:\Documents and Settings\user\Local Settings\Temp\1;BackDoor.Foman;Удален.;[/FONT]
[FONT=Times New Roman]svchost.exe;C:\Documents and Settings\user\Local Settings\Temp\2;Trojan.Sentinel;Удален.;[/FONT]
[FONT=Times New Roman]02EFDRDA.NQF;C:\Program Files\nod32\infected;BackDoor.Haxdoor.363;Удален.;[/FONT]
[FONT=Times New Roman]4SJOK4BA.NQF;C:\Program Files\nod32\infected;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]BZ2O43BA.NQF;C:\Program Files\nod32\infected;BackDoor.Haxdoor.440;Удален.;[/FONT]
[FONT=Times New Roman]DCJIYADA.NQF;C:\Program Files\nod32\infected;Trojan.DownLoader.14310;Удален.;[/FONT]
[FONT=Times New Roman]F031BOCA.NQF;C:\Program Files\nod32\infected;Trojan.Spambot.2830;Удален.;[/FONT]
[FONT=Times New Roman]NPE5LMDA.NQF;C:\Program Files\nod32\infected;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]QS2WRBBA.NQF;C:\Program Files\nod32\infected;BackDoor.Haxdoor.454;Удален.;[/FONT]
[FONT=Times New Roman]UW0LYKDA.NQF;C:\Program Files\nod32\infected;Trojan.DownLoader.56740;Удален.;[/FONT]
[FONT=Times New Roman]winlogon.exe;C:\WINDOWS;Trojan.Spambot.3099;Удален.;[/FONT]
[FONT=Times New Roman]qy.sys;C:\WINDOWS\system32;BackDoor.Haxdoor.454;Удален.;[/FONT]
[FONT=Times New Roman]qz.dll;C:\WINDOWS\system32;BackDoor.Haxdoor.440;Удален.;[/FONT]
[FONT=Times New Roman]qz.sys;C:\WINDOWS\system32;BackDoor.Haxdoor.440;Удален.;[/FONT]
[FONT=Times New Roman]syst2.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]systff.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]systs.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]systw2.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]systws.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]tmp_02b.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]tmp_066.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]tmp_31p.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]tmp_s.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]win_5k.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]win_8.exe;C:\WINDOWS\system32;Trojan.Packed.162;Удален.;[/FONT]
[FONT=Times New Roman]symavc32.sys;C:\WINDOWS\system32\drivers;Trojan.Spambot.2830;Удален.;[/FONT]
[FONT=Times New Roman]4F70.tmp;C:\WINDOWS\Temp;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]5207.tmp;C:\WINDOWS\Temp;Trojan.MulDrop.12136;Удален.;[/FONT]
[FONT=Times New Roman]539F.tmp;C:\WINDOWS\Temp;Trojan.MulDrop.12136;Удален.[/FONT]

После этого провел проверку avz и hijackthis по указанной методике. Файлы прикреплены. Насколько система очистилась и требуются ли дополнительные меры?

Пока nod вроде не ругается.

Спасибо.


[/FONT]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syst3.dll','');
QuarantineFile('C:\WINDOWS\system32\liar[1].exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('_.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('d:\buffoon.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\user\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21318[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing) [/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В хост файл Вы вносили изменения?

скрипт выполнил, карантин отправил.
строки пофиксил.

целенаправленно в хост файл изменения не вносил, поскольку не знаю, что это такое. но мог случайно сделать, не зная, что именно делаю (или зная, что делаю, но не зная, что это называется изменить хост файл).

Спасибо.

[QUOTE=PedroDon;213843]скрипт выполнил, карантин отправил.
строки пофиксил.[/QUOTE]Логи повторите, плиз.

высылаю логи

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,_,,,
O4 - HKLM\..\Run: [mssysif] C:\WINDOWS\system32\liar[1].exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\syst3.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\liar[1].exe');
DeleteFile('C:\WINDOWS\system32\syst3.dll');
DeleteFile('C:\Buffoon.exe');
DeleteFile('D:\Buffoon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.

пофиксил, скрипт выполнил, логи начиная с п. 10 правил приаттачил.

спасибо.

в логах чисто ...

Всем спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.Delf.ge[/B] (DrWEB: Win32.HLLW.Autoruner.1797)[*] d:\\autorun.inf - [B]Worm.Win32.Delf.ge[/B] (DrWEB: Win32.HLLW.Autoruner.1797)[*] d:\\buffoon.exe - [B]Worm.Win32.Delf.gc[/B] (DrWEB: Win32.HLLW.Buffoon)[/LIST][/LIST]