Троянская программа
Altezza
Любитель
8/13/2007, 8:25:38 PM
Помогите, пожалуйста. Подхватила где-то вирус, описание его найти не могу, он не удаляется, что делать не знаю. Касперский его обнаруживает, а удалить не может. Еще какие-то объекты на карантин помещает, я их даже в папке найти не могу, таких вообще нет. Что делать то?
Правда
Грандмастер
8/13/2007, 8:51:12 PM
Почитай ЗДЕСЬ
Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Обнови базы, этот вирус лечению не поддаётся,только не пойму почему не можешь удалить?
Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Обнови базы, этот вирус лечению не поддаётся,только не пойму почему не можешь удалить?
Vertigo
Мастер
8/14/2007, 12:52:12 AM
Проверьтесь в безопасном режиме. Если не поможет, возвращайтесь сюда.
Altezza
Любитель
8/14/2007, 8:57:49 AM
Vertigo1, если бы я знала, как и что проверять в безопасном режиме....
OLGA GIRL, Пишется, что невозможно удалить объект и рекомендуется удалить при перезагрузке. Перезагружаю, но ничегоне удаляется.
OLGA GIRL, Пишется, что невозможно удалить объект и рекомендуется удалить при перезагрузке. Перезагружаю, но ничегоне удаляется.
Altezza
Любитель
8/14/2007, 12:26:13 PM
Так, с горем пополам разобралась с безопасным режимом. Там эта троянская программа удаляется и никакое другие опасные объекты при проверке не обнаруживаются. А как только перехожу на обычный режим все снова появляется!
do-do
Мастер
8/14/2007, 2:31:58 PM
А что Каспер пишет (полностью) и имя файла
Altezza
Любитель
8/14/2007, 3:32:14 PM
Резервное хранилище:
1) Объект : ovrscn.dll
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\windows\system32\ovrscn.dll
2) объект: EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\D&S\Altezza\local setting\temp\EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
В этих папках таких объектов нет!
На данный момент это все, что написано. Появится еще что-то - напишу.
1) Объект : ovrscn.dll
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\windows\system32\ovrscn.dll
2) объект: EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\D&S\Altezza\local setting\temp\EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
В этих папках таких объектов нет!
На данный момент это все, что написано. Появится еще что-то - напишу.
do-do
Мастер
8/14/2007, 4:02:29 PM
Backdoor.Win32.Haxdoor.a
Другие версии: .cn, .dw, .o
Другие названия
Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)
Технические детали
Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.
При запуске создает на диске файлы (они хранятся внутри основного):
* pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;
* pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.
Пытается воровать пароли из следующих приложений и служб:
* EDialer;
* Miranda (ICQ);
* MuxaSoft Mdialer;
* SAM-файлы;
* кешированные сетевые пароли.
Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».
Добавляет ключи в системный реестр:
"DLLName"="pdx.dll"
"EntryPoint"="CorpseProc"
"StackSize"=0x1000
"DllName"="pdx.dll"
"Startup"="CorpseProc"
"Impersonate"=1
"Asynchronous"=0
"MaxWait"=1
Скачиваем мою любимую утилу AVZ
https://z-oleg.com/avz4.zip
Разворачиваем в любой каталог запускаем avz.exe
Чере меню Файл-обновляем базу.
После чего выполняем скрипт
Файл-Выполнить скрипт
просто копируем и вставляем
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.dll','');
BC_DeleteFile('C:\WINDOWS\system32\bt848rom.dll');
BC_DeleteFile('C:\WINDOWS\system32\k53lock.sys');
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Выполняем - затем проверяем диски через AVZ (не забыв в правом углу поставить крыжик, удалять вирусы)
Потом перегрузись и каспером
Другие версии: .cn, .dw, .o
Другие названия
Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)
Технические детали
Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.
При запуске создает на диске файлы (они хранятся внутри основного):
* pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;
* pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.
Пытается воровать пароли из следующих приложений и служб:
* EDialer;
* Miranda (ICQ);
* MuxaSoft Mdialer;
* SAM-файлы;
* кешированные сетевые пароли.
Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».
Добавляет ключи в системный реестр:
"DLLName"="pdx.dll"
"EntryPoint"="CorpseProc"
"StackSize"=0x1000
"DllName"="pdx.dll"
"Startup"="CorpseProc"
"Impersonate"=1
"Asynchronous"=0
"MaxWait"=1
Скачиваем мою любимую утилу AVZ
https://z-oleg.com/avz4.zip
Разворачиваем в любой каталог запускаем avz.exe
Чере меню Файл-обновляем базу.
После чего выполняем скрипт
Файл-Выполнить скрипт
просто копируем и вставляем
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.dll','');
BC_DeleteFile('C:\WINDOWS\system32\bt848rom.dll');
BC_DeleteFile('C:\WINDOWS\system32\k53lock.sys');
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Выполняем - затем проверяем диски через AVZ (не забыв в правом углу поставить крыжик, удалять вирусы)
Потом перегрузись и каспером
Vertigo
Мастер
8/14/2007, 5:32:27 PM
(do-do @ 14.08.2007 - время: 12:02) Backdoor.Win32.Haxdoor.a
Другие версии: .cn, .dw, .o
Дело в том, что версии сильно отличаются.
Другие версии: .cn, .dw, .o
Дело в том, что версии сильно отличаются.
Altezza
Любитель
8/14/2007, 6:45:00 PM
do-do, твоя программка почему-то не помогла. ничего не изменилось.
Vertigo
Мастер
8/14/2007, 6:56:20 PM
(Altezza @ 14.08.2007 - время: 14:45) do-do, твоя программка почему-то не помогла. ничего не изменилось.
Попробуй эти файлы вручную удалить. Через какой-нибудь Far manager...
И ещё. Скачай, поставь и пришли нам лог.
Попробуй эти файлы вручную удалить. Через какой-нибудь Far manager...
И ещё. Скачай, поставь и пришли нам лог.
do-do
Мастер
8/14/2007, 8:51:09 PM
Удалять надо бы через LiveCD диск
AVZ - написал хоть чего? когда сканировал
P.S. Попробуй отсортировать по времени файлы в каталоге C:\windows\system32
Особое внимание на dll и exe имеющие время создания близкое к текущему моменту времени
AVZ - написал хоть чего? когда сканировал
P.S. Попробуй отсортировать по времени файлы в каталоге C:\windows\system32
Особое внимание на dll и exe имеющие время создания близкое к текущему моменту времени
Altezza
Любитель
8/15/2007, 1:56:46 PM
Спасибо всем за помощь!
Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил.
Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил.
Vertigo
Мастер
8/15/2007, 5:27:04 PM
(Altezza @ 15.08.2007 - время: 09:56) Спасибо всем за помощь!
Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил.
А было что?
Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил.
А было что?
Altezza
Любитель
8/16/2007, 9:29:54 AM
Было 8 троянских программ 
И откуда они взялись только?!
И откуда они взялись только?!
Правда
Грандмастер
8/16/2007, 12:59:40 PM
А не нужно ходить на сайты сомнительного происхождения,открывать какие-попало файлы и программы неизвестного содержания.Удивительно другое-почему Касперский не справился с этой бедой сразу-по-моему тут так и не поняли.
Vertigo
Мастер
8/16/2007, 3:54:32 PM
(Altezza @ 16.08.2007 - время: 05:29) Было 8 троянских программ
И откуда они взялись только?!
Я имел в виду, какая версия антивиря была? Базы обновлённые?
И откуда они взялись только?!
Я имел в виду, какая версия антивиря была? Базы обновлённые?
Altezza
Любитель
8/16/2007, 4:56:12 PM
А, был Kaspersky домашняя версия
Vertigo
Мастер
8/16/2007, 5:03:02 PM
(Altezza @ 16.08.2007 - время: 12:56) А, был Kaspersky домашняя версия
5.0 видимо. Тогда понятно...
5.0 видимо. Тогда понятно...