Здравствуйте. У меня на компьютере ругается Касперский 7 на вирус Backdoor.Win32.Haxdoor.kz , такая вроде бы уже тема была но ситуациии разные бывают,говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
Здравствуйте. У меня на компьютере ругается Касперский 7 на вирус Backdoor.Win32.Haxdoor.kz , такая вроде бы уже тема была но ситуациии разные бывают,говорит что помечена библиотека на удаление и так каждый раз при перезагрузке
1.Базы AVZ обновить и после перезагрузки сделать новые логи.
2.Скачать winsockxpfix, но не запускать
3.Выполнить скрипт:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\kernell.exe',''); QuarantineFile('ntdump.exe',''); QuarantineFile('C:\WINDOWS\system32\t0.dll',''); QuarantineFile('C:\WINDOWS\system32\actcontroller.exe',''); BC_DeleteFile('C:\WINDOWS\kernell.exe'); DeleteFile('C:\WINDOWS\kernell.exe'); DeleteFile('ntdump.exe'); BC_DeleteFile('ntdump.exe'); DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
AVZ вроде справился с вашими зверями, но мы ему еще поможем.
4.Затем второй:
Код:begin BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 28.11.2007 в 16:25. Причина: Добавил еще THK Numb
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1) Базы AVZ обновил вот логи после обновления
2)winsockxpfix скачал вопрос для чего? но не запускал...
3)оба скрипта выполнил карантин загрузил
вот что выдало после выполнения скриптов
По Доктору вебу: C:\WINDOWS\kernell.exe - Trojan.Packed.194
C:\WINDOWS\system32\t0.dll - Trojan-Proxy.Win32.Agent.ra (Касперский)
Это попавшие в карантин. Больше ничего не досталось. Вероятно, антивирус опомнился и съел мою добычу.
Будем удалять всю эту команду.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Пофиксите в HijackThis:
2. Запишите настройки сетевых подключений.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\actcontroller.exe,
3. Выполните скрипт в AVZ:
4. После перезагрузки скорее всего пропадет сеть. Запустите скачанную программу и нажмите там Fix. Снова будет перезагрузка. Введите заново сетевые настройки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\t0.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\DOCUME~1\C6ED~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\kernell.exe'); DeleteFile('C:\WINDOWS\system32\actcontroller.exe'); DelSPIByFileName('t0.dll',true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
5. Сделайте новые логи.
I am not young enough to know everything...
конечно
Странно, вообще-то, откуда они все восстановились?
И еще выполните вот такой в защищ. режиме.
Код:begin BC_DeleteFile('C:\WINDOWS\system32\qz.dll'); BC_DeleteFile('C:\WINDOWS\system32\qz.sys'); BC_DeleteFile('ntdump.exe'); BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
все сделал вот логи
Все чисто. Только пофиксите в HijackThis:
Код:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
I am not young enough to know everything...
спасибо большое
Для профилактики рекомендуется отключить все, что вам не нужно из этого:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\kernell.exe - Trojan-Dropper.Win32.Agent.cso (DrWEB: Trojan.Packed.194)
- c:\\windows\\system32\\t0.dll - Trojan-Proxy.Win32.Agent.ra (DrWEB: Trojan.Proxy.2355)
Уважаемый(ая) DarkOrc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.