Троян Backdoor.Win32.Haxdoor.kz

**rvk** · 21.10.2007, 00:57

Здравствуйте. У меня на компьютере ругается Касперский на вирус Backdoor.Win32.Haxdoor.kz , говорит что помечена библиотека на удаление и так каждый раз при перезагрузке

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 21.10.2007, 03:53

Пофиксите в HijackThis:

Код:

O2 - BHO: C:\WINDOWS\system32\bvsjds7ehd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing)
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O21 - SSODL: VStorage - {7D6D387D-00F7-408F-9EF9-7021EADE737C} - swmclip.dll (file missing)
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\bvsjds7ehd.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\qz.dll','');
 QuarantineFile('C:\WINDOWS\system32\sw24.exe','');
 QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\system32\bvsjds7ehd.dll','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\kernel32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
 DeleteFile('C:\WINDOWS\kernel32.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\bvsjds7ehd.dll');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Довольно странное сочетание у вас: Avast и KAV 5.0. Использовать одновременно более одного антивируса настоятельно не рекомендуется. Я бы советовал удалить обоих и поставить KAV 7.0.

Сделайте новые логи.

**rvk** · 21.10.2007, 15:26

Спасибо. Все сделала, выслала карантин. Вот новые логи. Касперский все еще ругается на вирес файл update.exe и на библиотеку ovrscn.ddl. Аваст удалила, если версию Касперского 7.0 поставлю

**Bratez** · 21.10.2007, 15:35

Судя по логам, все чисто. Осталось только пофиксить строчку:

Код:

O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)

Файл update.exe в логах не фигурирует.
Найдите его и пришлите согласно приложению 2 правил.

**rvk** · 21.10.2007, 16:08

С делала, выслала (файл virus_upadte.zip). У меня в regeditесть записи про OVRSCN, они удаляются, при перезагрузке появляются, но есть группа LEGACY_OVRSCN, которую я не могу стереть.

**Bratez** · 21.10.2007, 16:19

Ваш update.exe - Backdoor.Win32.Haxdoor.kz
В системе он не задействован, просто удалите его, да и всю папку, в которой он лежит, для профилактики очистите, это будет только на пользу:
C:\Documents and Settings\user\Local Settings\Temp

Больше ничего подозрительного в логах нет.
Разве что потенциальные уязвимости по традиции советую закрыть:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Если затрудняетесь, просто скажите что нужно / не нужно, напишу скрипт.

**rvk** · 21.10.2007, 16:24

Спасибо за помощь. Очистила папку Temp. Но в регистре осталать группа LEGACY_OVRSCN. Службы не нужны все перечистленные.

**Bratez** · 21.10.2007, 16:31

Вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters', 'AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

* Если компьютер в локальной сети с использованием общего доступа к файлам и принтерам, то первую строчку после begin уберите.

**rvk** · 21.10.2007, 16:41

Спасибо, вроде Касперский успокоился. Регистр -это не поблема?

**drongo** · 22.10.2007, 18:32

А вроде вам советовали удалить касперского

Он действительно слаб и уже не поддерживается производителем.

**CyberHelper** · 22.02.2009, 02:42

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 26
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\user\\local settings\\temp\\update.exe - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.363)
2. c:\\windows\\kernel32.exe - Trojan-Banker.Win32.Banker.eir (DrWEB: Trojan.Proxy.2345)