Показано с 1 по 13 из 13.

Backdoor.Win32.Haxdoor.kz - мешает жить (заявка № 11407)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61

    Thumbs up Backdoor.Win32.Haxdoor.kz - мешает жить

    Вчера на чужом компе увидел, что на моей флешке есть вирус. Пришел домой и проверил флешку Касперским, он ничего не нашел. Со спокойной душой открыл ее. Сегодня начались проблемы. Каспер определил их, как Backdoor.Win32.Haxdoor.kz Некоторые программы не открываются(E-mule,Process Master), с адреса 77.222.101.37 постоянно идет атака Intrusion.Win.DCOM.exploit, не открываются свойства "Мой компьютер" (хотел отключить восстановление системы, у меня стоит XP), вылечить средствами Каспера не удалось.
    Заранее большое спасибо. Буду безмерно благодарен за любую помощь и сочуствие.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61
    Извините, выкладываю требуемые файлы.
    Вложения Вложения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Удалить вашу версию касперского .
    поставить последнею версию касперского 7.0.0.125- мне просто интересно почему вы до сих пор этого не сделали?
    В защищённом режиме загрузиться ,поставить настройки сканера по максимуму включая "лечение" руткитов.Сообщите о результатах

  5. #4
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61
    Спасибо за совет, попытаюсь. Просто не мог включить E-mule, чтобы по сети скачать обновленного Каспера.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от Apache Посмотреть сообщение
    Спасибо за совет, попытаюсь. Просто не мог включить E-mule, чтобы по сети скачать обновленного Каспера.
    этого делать не стоит программы, особенно по безопасности, качают с официальных сайтов: http://www.kaspersky.ru/productupdat...link=206910097

    На всякий случай лечение :
    Отключите антивирус,
    Добавлено через 30 минут
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
     begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\userinit.exe','');
     QuarantineFile('d:\docume~1\magus\locals~1\temp\winlogon.exe','');
     QuarantineFile('D:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('D:\WINDOWS\system32\DefLib.sys','');
     QuarantineFile('\D:\WINDOWS\system32\ovwscn.sys','');
     QuarantineFile('D:\WINDOWS\system32\ovrscn.sys','');
     KillProcess(1740);
     DeleteFile('d:\docume~1\magus\locals~1\temp\winlogon.exe');
     DeleteFile('D:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('D:\WINDOWS\system32\DefLib.sys');
     DeleteFile('D:\WINDOWS\system32\ovwscn.sys');
     DeleteFile('D:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('D:\WINDOWS\userinit.exe');
     DeleteFile('D:\WINDOWS\system32\qz.dll');
     DeleteFile('c:\winnt\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('c:\winnt\system32\svchost.exe:exe.exe');
     BC_DeleteSvc('ICF');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    Последний раз редактировалось drongo; 28.07.2007 в 18:45. Причина: Добавлено сообщение

  7. #6
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61
    Спасибо за ваши советы. В общем, угроза миновала (по крайней мере программы работают и Каспер не сообщает о вирусах). Установил 6-ю версию. Очень помогла ваша утилита AVZ, потому что не мог снести старого каспера, а с ее помощью выгружал dll вируса, кое-как чистил (точнее она сама восстанавливала процессы), а потом установил.
    К сожалению ограничен в траффике, поэтому скачал с локалки. Возможно потом, когда разбогатею, куплю нормальную защиту от подобных неприятностей
    Еще раз спасибо за помощь. Если что-то пойдет не так, обязательно напишу в этой теме. Вы делаете хорошее дело. Спасибо, респект!!!

    Добавлено через 11 минут
    На всякий случай выполнил ваш скрипт. Файл выслал:
    Файл сохранён как070728_230049_virus_46ab92616771c.zipРазмер файла122026MD574c7567723f2f39a8b3633069c1fac8f

    Надеюсь, что все теперь в порядке. Удачи Вам!!!
    Последний раз редактировалось Apache; 28.07.2007 в 23:02. Причина: Добавлено сообщение

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61
    Высылаю требуемое, пока все спокойно.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    остался не большой следок.
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('ovrscn.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    советую почистить временные файлы и я бы ещё прошёлся чистилкой реестра tuneup utilities 2007.
    Также, что это за файл : D:\Documents and Settings\Magus\Рабочий стол\ЮРА\индивидуалки\8_complete_comment\superzamo k8.exe
    лучше не запускать такое счастье

    *Отключить службы netmeeting и справку удалённого стола.
    ** В любом случае, ваш антивирус6 версии старый Так что не удивляйтесь, если что-то не будет ловить
    ***Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!
    Последний раз редактировалось drongo; 29.07.2007 в 11:11.

  11. #10
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    6
    Вес репутации
    61
    Спасибо за ваше время! Результат превзошел все ожидания. Чем смог, тем помог, файлы собрал и выслал:

    Файл сохранён как 070729_161955_virusinfo_files_APACHE_46ac85eb76da4 .zip
    Размер файла 8440304
    MD5 b6f40c30add0988bf22ac3cb1c417ef7

    Книжку про безопасный интернет скачал - будет что почитать на досуге. Снес IE поставил Opera 9.10 Реестр почистил с помощью Tuneup... Пока все просто супер и это благодаря Вам!!!
    Респект, если нужен будет PR вашему проекту - обращайтесь, помогу!!!
    Удачи во всех начинаниях!!!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Apache Посмотреть сообщение
    Респект, если нужен будет PR вашему проекту - обращайтесь, помогу!!!
    PR это кто или что?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Maxim, http://www.krugosvet.ru/articles/117.../1011765a1.htm


    Apache, Во первых уже свежее версия есть так как всегда надо следить за последними версиями (закрывают старые дырки, новые возможности появляются (возможно с новыми дырками, но такова жизнь ) ;-))
    Во вторых,полностью удалить IE не выйдет так как слишком глубоко внедрено в систему(даже если удастся- это в будущем может плохо повлиять на систему, мало не покажется )
    Лучше IE не пользоваться, запретить файрволом выход в интеренет. А если очень надо, можно пару раз разрешить при необходимости.
    Насчёт хорошей рекламы,то мы не отказываемся ;-)Нам интересно, что именно вы имели ввиду, расскажите подробней , открыв новую тему в разделе по ссылке
    : http://virusinfo.info/forumdisplay.php?f=33

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\docume~1\\magus\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.pz (DrWEB: Trojan.Packed.147)
      2. d:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) Apache, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.inject.aohy мешает жить и работать !
      От Alex39 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.02.2011, 04:34
    2. Что-то ещё мешает жить
      От Alexey_75 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 01.12.2009, 16:28
    3. Backdoor.Win32.Haxdoor.kz
      От XPOHAPUYC в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:42
    4. BackDoor.Win32.HaxDoor.kz не убивается ни чем
      От Dikvertin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:21
    5. Backdoor.Win32.Haxdoor.cn ПОМОГИТЕ!!!!!!!!!!!
      От kyit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.02.2007, 12:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00533 seconds with 20 queries