Показано с 1 по 16 из 16.

BackDoor.Haxdoor.363 - не могу победить (заявка № 10729)

  1. #1
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62

    BackDoor.Haxdoor.363 - не могу победить

    1. С включенным Norton Antivirus 2005 наловил зверей (при этом NA сломался...), погнал их avast!-ом кого-то он бил при нач загр, но trouble остались (отвал интернета, проблемы с запуском ярлыков, завис компа при shutdown/reboot).
    Затем применил CureIt! - он нашел BackDoor.HaxDoor.440
    (в ovrscn.dll и ovwscn.sys) и BackDoor.Bulknet (в C:\Program Files\Maxthon\2.exe (это мой браузер) и в С:\RECYCLER\NPROTECT\00011407.sys, кстати Norton еще ругался на опасный скрипт и предлагал закрыть Maxthon)
    В итоге осталось следующее:
    C:\Documents and Settings\AUA\Local Settings\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe
    инфицирован BackDoor.Haxdoor.363.
    При следующей загрузке файл {ea61ce20-860c-11d3-a05d-00104b6909d0}.exe и
    файл {9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.bat восстан-ся.

    Применял пилюлю из topic-а "Trojan.PWS.GoldSpy и BackDoor.Haxdoor.363":

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','' );
    QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','' );
    QuarantineFile('C:\WINDOWS\system32\ovwscn.dll','' );
    BC_DeleteFile('c:\windows\system32\svcroot.exe');
    BC_DeleteFile('C:\WINDOWS\system32\bt848rom.dll');
    BC_DeleteFile('C:\WINDOWS\system32\k53lock.sys');
    BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
    BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll');
    BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
    BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.

    Не помогло...

    2. Кто знает из-за чего может быть: "Не удается изменить "AutoRun".
    Ошибка при записи нового значения параметра."
    при изменении вручную значения с "1" на "0"?

    3. И как разблокировать доступ к "System Volume Information"?
    Вложения Вложения
    Последний раз редактировалось КуК; 30.06.2007 в 11:05. Причина: Случайный ввод

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от КуК Посмотреть сообщение
    1. С включенным Norton Antivirus 2005 наловил зверей (при этом NA сломался...), погнал их avast!-ом кого-то он бил при нач загр, но trouble остались (отвал интернета, проблемы с запуском ярлыков, завис компа при shutdown/reboot).
    Затем применил CureIt! - он нашел BackDoor.HaxDoor.440
    (в ovrscn.dll и ovwscn.sys) и BackDoor.Bulknet (в C:\Program Files\Maxthon\2.exe (это мой браузер) и в С:\RECYCLER\NPROTECT\00011407.sys, кстати Norton еще ругался на опасный скрипт и предлагал закрыть Maxthon)
    В итоге осталось следующее:
    C:\Documents and Settings\AUA\Local Settings\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe
    инфицирован BackDoor.Haxdoor.363.
    При следующей загрузке файл {ea61ce20-860c-11d3-a05d-00104b6909d0}.exe и
    файл {9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.bat восстан-ся.

    Применял пилюлю из topic-а "Trojan.PWS.GoldSpy и BackDoor.Haxdoor.363":

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','' );
    QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','' );
    QuarantineFile('C:\WINDOWS\system32\ovwscn.dll','' );
    BC_DeleteFile('c:\windows\system32\svcroot.exe');
    BC_DeleteFile('C:\WINDOWS\system32\bt848rom.dll');
    BC_DeleteFile('C:\WINDOWS\system32\k53lock.sys');
    BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
    BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll');
    BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
    BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
    BC_DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.

    Не помогло...

    2. Кто знает из-за чего может быть: "Не удается изменить "AutoRun".
    Ошибка при записи нового значения параметра."
    при изменении вручную значения с "1" на "0"?

    3. И как разблокировать доступ к "System Volume Information"?
    1. Ни в коем случае не следует применять скрипты AVZ из других тем ! Они делаются хелперами индивидуально под каждый случай и применение "чужого" скрипта может порушить систему
    2. Следует выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     QuarantineFile('C:\DOCUME~1\AUA\LOCALS~1\Temp\2074.exe','');
     QuarantineFile('C:\Program Files\Internet Explorer\shwdltms.bin','');
     RebootWindows(true);
    end.
    Попавшие в карантин файлы следует прислать согласно правилам
    3. Что значит разблокировать доступ "System Volume Information"? Это системная папка, доступ к ней блокируется системой - это нормально.
    4. В логе видны KernelMode компоненты Symantec и Avast. Это залог глюков, один из антивирусов желательно убрать

  4. #3
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    • не следует применять скрипты AVZ из других тем !
      Учту, уже понял AVZ - не для простых юзеров.
    • Если я ничего не путаю, изначально в папку "System Volume Information" можно заходить и даже частично или полностью удалять ее содержимое.
      В данный момент я немогу в нее войти. Полагаю это следствие работы вируса (антивируса).
    • 2. Norton Antivirus 2005 в составе NSW_2005 я удалял uninstal-ом.
      Можно ли скриптом AVZ удалить остатки Norton Antivirus 2005?... было бы неплохо...
      или же воспользоваться "Грамотно удаляем Norton Antivirus 2005"?
    Последний раз редактировалось КуК; 30.06.2007 в 17:15. Причина: Не дочитал: Идет загрузка - Пожалуйста, подождите

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от КуК Посмотреть сообщение
    • Если я ничего не путаю, изначально в папку "System Volume Information" можно заходить и даже частично или полностью удалять ее содержимое.
    После установки второго сервиспака права на доступ к "System Volume Information" могут измениться (должна остаться возможность чтения-записи только у SYSTEM).

    Цитата Сообщение от КуК Посмотреть сообщение
    • 2. Norton Antivirus 2005 в составе NSW_2005 я удалял uninstal-ом.
      Можно ли скриптом AVZ удалить остатки Norton Antivirus 2005?... было бы неплохо...
      или же воспользоваться "Грамотно удаляем Norton Antivirus 2005"?
    Описаная в статье утилита - от самой Symantec, я думаю им лучше знать как удалить их программу

    Главное - карантин нельзя прикреплять в тему, его нужно отсылать через ссылку вверху Прислать запрошенные файлы
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Главное - карантин нельзя прикреплять в тему, его нужно отсылать через ссылку вверху Прислать запрошенные файлы
    Sorry, что-то я сегодня путаю педали

    (должна остаться возможность чтения-записи только у SYSTEM)
    . Имеется ввиду C:\WINDOWS\system\?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Нет, имеется ввиду пользователь "SYSTEM", олицетворяющий систему.
    Т.е. на вкладке "Безопасность" в свойствах папки будет виден только пользователь "SYSTEM".
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Kuzz, благодарю за ответ

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Вирустотал о присланных файлах не лучшего мнения.
    КАВ: AdWare.Win32.Agent.de и Packed.Win32.PolyCrypt.b
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFile('C:\WINDOWS\userinit.exe');
     DeleteFile('C:\Program Files\Internet Explorer\shwdltms.bin');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пофиксить:
    Код:
    O4 - HKCU\..\Run: [System update] C:\DOCUME~1\AUA\LOCALS~1\Temp\2074.exe
    O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
    
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    O21 - SSODL: SysChk - {79EC266E-62E5-40D1-BCF9-D24B12152226} - C:\Program Files\Internet Explorer\shwdltms.bin

    После выполнения - сделать новые логи.
    Последний раз редактировалось Kuzz; 30.06.2007 в 19:54.
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Фиксировал №1 и №3 (№3 и №4 - отсутствуют)
    Что же будет дальше с нами?
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Отсутствовала, наверное, запись №2.

    Вроде все чисто. Но с остатками Нортона надо что-то решать.
    Утилитку из "Грамотного удаления" пользовали?

    Прокси сами прописывали?
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = sq.comch.ru:3128
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Прокси сами прописывали?
    ЭЭЭ... Это Вы к чему?

    Отсутствовала, наверное, запись №2.
    я и говорю мне за руль сегодня никак нельзя!

    Удалил я avast! - ом {ea61ce20-860c-11d3-a05d-00104b6909d0}.exe, который
    инфицирован BackDoor.Haxdoor.363 и о, чудо при следующей
    загрузке он не появился! Я Ваш должник отныне, товарищи Ученые!

    Единственное, что осталось - это обнаружение нового устройства при каждой загрузке, но это не существенно.

    Да, я использовал Norton_Removal_Tool и прикрепил последние логи; и я в них уже не увидел того, что было в предидущих и это тоже позитив.

    И последнее наставление, Master, что мне делать с негативами, которые в карантинах AVZ и hijackthis?
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от КуК Посмотреть сообщение
    ЭЭЭ... Это Вы к чему?
    Это к тому, что указанный прокси вроде легитимный, но всяко может быть...

    Цитата Сообщение от КуК Посмотреть сообщение
    Единственное, что осталось - это обнаружение нового устройства при каждой загрузке, но это не существенно.

    Да, я использовал Norton_Removal_Tool и прикрепил последние логи; и я в них уже не увидел того, что было в предидущих и это тоже позитив.

    И последнее наставление, Master, что мне делать с негативами, которые в карантинах AVZ и hijackthis?
    Какое устройство?
    Следов Symantec-а не обнаружил.

    hijackthis не создаёт карантина, лишь бекапы.
    Карантин из АВЗ можно отослать производителям антивирусов.
    Здесь хорошо написано как отправить.
    The worst foe lies within the self...

  14. #13
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Это к тому, что указанный прокси вроде легитимный, но всяко может быть...
    Не дави интеллектом, comrade, я же простой юзер, я и слов то таких не знаю!
    Какое устройство?
    Да не знаю, у меня кроме модема никаких таких устройств нет, а модем у меня вроде сегодня работает. Могу предположить, что это дешевая провокация одного из удаленных вирусов, т.к. Мастер установки предлагает подключиться к интернету... Впрочем, как я уже отмечал это не так важно.
    Карантин из АВЗ можно отослать производителям антивирусов.
    Вообще-то я имел ввиду как их правильно удалить,гадов!

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от КуК Посмотреть сообщение
    Не дави интеллектом, comrade, ...
    Вообще-то я имел ввиду как их правильно удалить,гадов!
    Не буду.
    Удалить их просто:
    В АВЗ меню "Файл"->"Просмотр карантина"
    В открывшемся окне можно их удалить из карантина (из системы они уже удалены).
    The worst foe lies within the self...

  16. #15
    Junior Member Репутация
    Регистрация
    30.06.2007
    Сообщений
    12
    Вес репутации
    62
    Respect тебе, Kuzz, и удачи.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\shwdltms.bin - not-a-virus:AdWare.Win32.Agent.de (DrWEB: Trojan.Click.3159)
      2. c:\\windows\\userinit.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) КуК, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Haxdoor
      От Flash в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 05:30
    2. Backdoor.Haxdoor (avz и прочее)
      От filprint в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 05:02
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:54
    4. Ответов: 11
      Последнее сообщение: 11.09.2006, 22:26
    5. AVZ и Backdoor.Haxdoor.D
      От в разделе Антивирусы
      Ответов: 4
      Последнее сообщение: 25.03.2005, 18:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00466 seconds with 20 queries