Здравствуйте. У меня на компьютере ругается Касперский на вирус Backdoor.Win32.Haxdoor.kz , говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Здравствуйте. У меня на компьютере ругается Касперский на вирус Backdoor.Win32.Haxdoor.kz , говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Последний раз редактировалось Alex_Goodwin; 21.10.2007 в 14:15.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: C:\WINDOWS\system32\bvsjds7ehd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing) O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing) O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing) O21 - SSODL: VStorage - {7D6D387D-00F7-408F-9EF9-7021EADE737C} - swmclip.dll (file missing) O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\qz.dll',''); QuarantineFile('C:\WINDOWS\system32\sw24.exe',''); QuarantineFile('C:\WINDOWS\system32\sw20.exe',''); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\kernel32.exe',''); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); DeleteFile('C:\WINDOWS\kernel32.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll'); DeleteFile('C:\WINDOWS\system32\rpcc.dll'); DeleteFile('C:\WINDOWS\system32\qz.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Довольно странное сочетание у вас: Avast и KAV 5.0. Использовать одновременно более одного антивируса настоятельно не рекомендуется. Я бы советовал удалить обоих и поставить KAV 7.0.
Сделайте новые логи.
I am not young enough to know everything...
Спасибо. Все сделала, выслала карантин. Вот новые логи. Касперский все еще ругается на вирес файл update.exe и на библиотеку ovrscn.ddl. Аваст удалила, если версию Касперского 7.0 поставлю
Судя по логам, все чисто. Осталось только пофиксить строчку:
Файл update.exe в логах не фигурирует.Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
Найдите его и пришлите согласно приложению 2 правил.
I am not young enough to know everything...
С делала, выслала (файл virus_upadte.zip). У меня в regeditесть записи про OVRSCN, они удаляются, при перезагрузке появляются, но есть группа LEGACY_OVRSCN, которую я не могу стереть.
Ваш update.exe - Backdoor.Win32.Haxdoor.kz
В системе он не задействован, просто удалите его, да и всю папку, в которой он лежит, для профилактики очистите, это будет только на пользу:
C:\Documents and Settings\user\Local Settings\Temp
Больше ничего подозрительного в логах нет.
Разве что потенциальные уязвимости по традиции советую закрыть:
Если затрудняетесь, просто скажите что нужно / не нужно, напишу скрипт.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Спасибо за помощь. Очистила папку Temp. Но в регистре осталать группа LEGACY_OVRSCN. Службы не нужны все перечистленные.
Вот скрипт:
* Если компьютер в локальной сети с использованием общего доступа к файлам и принтерам, то первую строчку после begin уберите.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Спасибо, вроде Касперский успокоился. Регистр -это не поблема?
А вроде вам советовали удалить касперского Он действительно слаб и уже не поддерживается производителем.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\local settings\\temp\\update.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.363)
- c:\\windows\\kernel32.exe - Trojan-Banker.Win32.Banker.eir (DrWEB: Trojan.Proxy.2345)
Уважаемый(ая) rvk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.