Показано с 1 по 13 из 13.

Обнаружен такой вирус BackDoor.Haxdoor.440 (заявка № 10951)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43

    Thumbs up Обнаружен такой вирус BackDoor.Haxdoor.440

    Здравствуйте!:-)
    У меня вот такая проблемка. Появился вирус и я его никак не могу искоренить.
    Очень надеюсь, что вы мне сможете помочь!
    Последний раз редактировалось ghostil; 26.07.2007 в 15:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\userinit.exe','');
     QuarantineFile('D:\WINDOWS\system32\ovwscn.sys','');
     QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('D:\WINDOWS\system32\atiatbxx.sys','');
     QuarantineFile('D:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('D:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('d:\temp\winlogon.exe','');
     QuarantineFile('d:\windows\system32\wininet.exe','');
     QuarantineFile('D:\WINDOWS\system32\qz.dll','');
     QuarantineFile('D:\WINDOWS\system32\qz.sys','');
     DeleteFile('d:\windows\system32\wininet.exe');
     DeleteFile('d:\temp\winlogon.exe');
     DeleteFile('D:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('D:\WINDOWS\system32\svshost.dll');
     DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
     DeleteFile('D:\WINDOWS\userinit.exe');
     DeleteFile('D:\WINDOWS\system32\qz.dll');
     DeleteFile('D:\WINDOWS\system32\qz.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
    Последний раз редактировалось drongo; 10.07.2007 в 14:07.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Вдогонку, почистите наконец временные файлы интернета, папку D:\Temp\
    и почему не выполнен пункт 7 правил ? Немедленно это сделать!

  5. #4
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Восстановление системы я отключил. А вот папку сейчас почищу логи отошлю!Спасибо за оперативный ответ :-)

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Вот, что получилось после выполненного скрипта.
    По-моему, стало чисто. :-) За что Вам большое спасибо!Сильно выручили!
    Последний раз редактировалось ghostil; 26.07.2007 в 15:38.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Пофиксите с помощью Hijackthis строки:
    Код:
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    O23 - Service: FCI - Unknown owner - D:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
    Обратите внимание, что одна из строк - сервис и фиксится немного по-другому.
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\D:\WINDOWS\system32\atiatbxx.sys','');
     QuarantineFile('d:\windows\system32\packager.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10951 , как написано в прил. 3 правил

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Карантин закачал. Спасибо!

    Добавлено через 8 минут
    Выздоровление компа близко?
    Последний раз редактировалось ghostil; 10.07.2007 в 16:03. Причина: Добавлено сообщение

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    850
    Результаты проверки присланных файлов с virustotal:
    D:\WINDOWS\system32\atiatbxx.sys:
    Код:
    Authentium	4.93.8	07.09.2007	W32/Goldun.gen3
    eTrust-Vet	30.8.3777	07.10.2007	Win32/ProcHide!generic
    Fortinet	2.91.0.0	07.10.2007	Haxdor!tr
    F-Prot	4.3.2.48	07.09.2007	W32/Goldun.gen3
    Microsoft	1.2704	07.10.2007	Backdoor:Win32/Haxdoor
    Sophos	4.19.0	07.06.2007	Troj/Haxdor-Gen
    Symantec	10	07.10.2007	Hacktool.Rootkit
    d:\windows\system32\packager.dll:
    Код:
    Authentium	4.93.8	07.09.2007	W32/Goldun.gen1
    F-Prot	4.3.2.48	07.09.2007	W32/Goldun.gen1
    Ikarus	T3.1.1.8	07.10.2007	Trojan-Spy.Win32.Goldun.lw
    NOD32v2	2389	07.10.2007	probably a variant of Win32/Spy.BZub
    Panda	9.0.0.4	07.10.2007	Suspicious file
    Sophos	4.19.0	07.06.2007	Mal/Behav-102
    Все-таки, наверное, так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\atiatbxx.sys');
     DeleteFile('d:\windows\system32\packager.dll');
     DeleteFile('\??\D:\WINDOWS\system32\atiatbxx.sys');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, если останется, пофиксите в Hijackthis строчку
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - d:\windows\system32\packager.dll
    и сделайте новые логи, начиная с п.10 правил

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    да, какой липкий вирус оказался, да не один!
    Спасибо большое за скрипт, сегодня уже не успею,а завтра выложу обязательно логи!

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Извините, что так долго молчал. Не давали к компьютеру этому подобраться.
    Так вот, последний скрипт я выполнил, а вот пофиксить не смог, строчки этой HiJackThis не выдал мне.
    Сейчас выложу получившиеся логи, буду ждать от вас ответа с нетерпением.

  12. #11
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Вот и логи!Прощу ознакомиться,если у кого есть свободная минутка.
    Последний раз редактировалось ghostil; 26.07.2007 в 15:38.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Похоже всё. Только почистите временные файлы, отключите не нужные сервисы ( net meeting например )
    Чтобы уменьшить шанс заражения советуем на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    43
    Спасибо большое за помощь!Файлы почистил!

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрение на вирус BackDoor.win32.Haxdoor.bg
      От RocketMan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.10.2010, 21:07
    2. Backdoor.Haxdoor
      От Flash в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 05:30
    3. Backdoor.Haxdoor (avz и прочее)
      От filprint в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 05:02
    4. Появился вирус BackDoor.Haxdoor.363 и 440
      От Ольга812 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.07.2007, 18:02
    5. AVZ и Backdoor.Haxdoor.D
      От в разделе Антивирусы
      Ответов: 4
      Последнее сообщение: 25.03.2005, 18:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01581 seconds with 16 queries