-
Junior Member
- Вес репутации
- 61
Подцепил вирус HaxDoor Trojan. NOD32 его обнаруживает, но не лечит
Симптомы: NOD32 при проверке компа ругается, что обнаружены файлы ovrscn.dll и ovwscn.sys, зараженные HaxDoor Trojan. После чего выдает запрос на их удаление и вроде бы удаляет, но после перезагрузки все опять повторяется. Также в папке Temp личных настроек юзера появляется exe файл с неким длинным системным названием в фигурных скобках (к сожалению название не записал), также зараженный HaxDoor Trojan. Основная проблема в том, что не могу с этого компа (это мой домашний) выйти в интернет, поскольку сетевое подключение "Локальная сеть" при включении становиться "Недоступно или отсутствует" и отрисовывается с восклицательным знаком. Есть подозрение что это тоже проделки этого вируса.
Последний раз редактировалось marvak; 24.08.2007 в 11:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('r4549w32.dll','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\qz.sys','');
QuarantineFile('C:\WINDOWS\system32\qz.dll','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('r4549w32.dll');
ExecuteRepair(14);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11862
Повторите логи
Внимание если сеть и интернет не будут работать,то воспользуйтесь утилитой WinsockFix,она сбрасывает все настройки на дефолт,поэтому запомните свои.
Последний раз редактировалось Muzzle; 22.08.2007 в 07:33.
-
-
Junior Member
- Вес репутации
- 61
спасибо, вечером дома проверю, завтра вышлю результаты
спасибо, вечером дома проверю, завтра вышлю результаты
-
Junior Member
- Вес репутации
- 61
Сделал как было рекомендовано, результаты прилагаю
Сделал как было рекомендовано, результаты прилагаю.
Карантин virus.zip закачал по ссылке http://virusinfo.info/upload_virus.php?tid=11862
Результат загрузки
Файл сохранён как070823_065947_virus_46ccf83a05dd6.zipРазмер файла59059MD555731deb79d9448b5ddf90986308642b
Последний раз редактировалось marvak; 24.08.2007 в 11:29.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SysCleanAddFile('ovrscn.dll');
ExecuteRepair(6);
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
O21 - SSODL: 629953 - {00000969-4321-1234-4321-0A1B2C3D4E99} - (no file)
Проблема исчезла?Как я понимаю сеть теперь работает?
Повторите логи.
Последний раз редактировалось Muzzle; 23.08.2007 в 08:52.
-
-
Junior Member
- Вес репутации
- 61
Сеть вчера не проверял
Сеть вчера не проверял, но при попытке открыть параметры Брандмауэра, ругается, что "невозможно открыть параметры Брандмауэра по неизвестной причине", сейчас я с работы.
Рекомендации сделаю, только получится немного с задержкой, т.к. зараженный комп - домашний.
А утилита, которая фиксит сеть - ее можно запускать независимо от окончания лечения от трояна, или лучше подождать?
-
Если сети не будет(но судя по логам должна уже работать),то тогда запустите утилиту и если можно скрин ошибки брандмауэра(если она снова будет).
-
-
Junior Member
- Вес репутации
- 61
Все, сеть заработала!
Сеть заработала, после выполнения скриптов и применения winsockxpfix.exe
Все рекомендации сделал, высылаю логи.
Брандмауэр не запускается, скриншот ошибки не влез во вложения, в общем вылезает диалоговое окно с заголовком "Брандмауэр Windows", кнопкой "ОК" и текстом "Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows".
-
Junior Member
- Вес репутации
- 61
кстати, я могу удалить логи от 22 и 21 августа?
а то места уже нет
-
В логах всё чисто,вот решение вашей проблемы http://support.microsoft.com/kb/920074/ru
о результатах сообщите
Последний раз редактировалось Muzzle; 24.08.2007 в 07:37.
-
-
Junior Member
- Вес репутации
- 61
Проблему с Брандмауэром решил, как и сказано у Майкрософта
Прблему с брандмауэром решил, все нормально, спасибо. Сеть и интернет заработали.
Но, кстати при проверке NOD32-ом в папке windows\system32 обнаружился файлик qy.sys зараженный все тем же Haxdoor - ом.
После удаления и нескольких циклов Перезагрузок/проверок вроде бы больше не появлялся.
И в папке пользователя local settings\temp был батник с длинным наименованием. после удаления вроде больше не появляется. Логи сегодня сделаю вечером и выложу еще раз.
-
Ну вот и хорошо,ждём логов,чтоб вынести окончательный вердикт
-
-
Junior Member
- Вес репутации
- 61
может это просто неудаленные следы после лечения?
может это просто неудаленные следы после лечения?
-
Вот будут логи, тогда и узнаем.
-
-
Junior Member
- Вес репутации
- 61
-
Сообщение от
marvak
Собственно логи
...и вроде чистые. Проблема еще присутствует?
-
-
Логи чистые,для надёжности можете почистить папку пользователя local settings\temp
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Junior Member
- Вес репутации
- 61
Большое спасибо!
Большое спасибо!
Насчет пополнения базы безопасных файлов - обязательно постараюсь сделать. Удачи Вам в Вашем правом деле!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\userinit.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: Trojan.Packed.166)
-