Показано с 1 по 12 из 12.

BackDoor.Win32.HaxDoor.kz не убивается ни чем (заявка № 19741)

  1. #1
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59

    Thumbs up BackDoor.Win32.HaxDoor.kz не убивается ни чем

    Здравствуйте, уважаемые!
    Проблемы с компом такие. КИС 7.0 находит трояна BackDoor.Win32.HaxDoor.kz в svhost.exe и в ovrscn.dll + руткит smss.exe. Пытается лечить, далее следует перезагрузка, и так бесконечно. Загрузка с "аварийного диска" и лечение "по полной программе" тем же КИС дает несколько лучший результат, которого, однако хватает всего дня на три. Затем все повторяется как в песне про попа и собаку. Пытался лечить CureIT в сэйв моде. Находятся те же звери в файлах ovrscn.sys (BackDoor.HaxDoor.454), ovwscn.sys (BackDoor.HaxDoor.440), {9CC3F3F2-0AD2-4B2A-9C76-8592330B00A1}.exe (BackDoor.HaxDoor.363), qy.sys (BackDoor.HaxDoor.454), qz.dll (BackDoor.HaxDoor.440), qz.sys (BackDoor.HaxDoor.440). Все это удаляется (безжалостно), а толку ноль. AVZ тоже иногда что-то находит, лечит - с тем же результатом.

    Че делать?
    Файлы логов прилагаю
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\mv614x.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('C:\DOCUME~1\Dmitry\LOCALS~1\Temp\update_win.exe','');
     DeleteFile('C:\DOCUME~1\Dmitry\LOCALS~1\Temp\update_win.exe');
     DeleteFile('ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19741

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59
    Скрипт выполнил. Пофиксить строчку не смог в виду ее отсутствия (???)

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Это хорошо если нет, значит АВЗ прибила. Теперь ждём карантин и новый комплект логов (карантин по указанной ссылке загружайте).

  6. #5
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59
    Карантин выслал. Логи только завтра, т.к. время сильно поджимает.
    Спасибо!

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В карантине ovrscn.sys, ovwscn.sys - Backdoor.Win32.Haxdoor.kz update_win.exe - Trojan-Dropper.Win32.Microjoin.is

    Добавлено через 1 минуту

    tcpip.sys, mv614x.sys - чистые.
    Последний раз редактировалось wise-wistful; 13.03.2008 в 21:24. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59
    Сегодня, после загрузки компьютера, Касперский сразу выдал сообщение об обнаружении опасных объектов - процессы svchost.exe (Invader), smss.exe (не обработаны) + поудалял троянов ovrscn.dll. Автоматической перезагрузки не произошло.
    Сделал новые логи, которые прилагаю.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\qy.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите virusinfo_syscure.zip

  10. #9
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59
    Скрипт выполнил
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нет ничего зловредного ....
    какие-то проблемы остались ?

  12. #11
    Junior Member Репутация
    Регистрация
    12.03.2008
    Сообщений
    6
    Вес репутации
    59
    Проблем пока не замечено.
    Огромное спасибо за помощь!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\dmitry\\locals~1\\temp\\update_win.e xe - Trojan-Dropper.Win32.Microjoin.is (DrWEB: Trojan.MulDrop.14017)
      2. c:\\windows\\system32\\ovrscn.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.454)
      3. c:\\windows\\system32\\ovwscn.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)


  • Уважаемый(ая) Dikvertin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.Haxdoor.kz
      От XPOHAPUYC в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:42
    2. Троян Backdoor.Win32.Haxdoor.kz
      От rvk в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:42
    3. Проблема: Backdoor.Win32.Haxdoor.kz
      От Nekiydima в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.05.2008, 23:49
    4. Помогите избавиться Backdoor.Win32.Haxdoor.kz!
      От avtosk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2007, 16:13
    5. Backdoor.Win32.Haxdoor.cn ПОМОГИТЕ!!!!!!!!!!!
      От kyit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.02.2007, 12:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00069 seconds with 20 queries