Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Обнови базы, этот вирус лечению не поддаётся,только не пойму почему не можешь удалить?
OLGA GIRL, Пишется, что невозможно удалить объект и рекомендуется удалить при перезагрузке. Перезагружаю, но ничегоне удаляется.
1) Объект : ovrscn.dll
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\windows\system32\ovrscn.dll
2) объект: EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
Статус: заражен (Backdoor.Win32.Haxdoor.kz)
Путь: С:\D&S\Altezza\local setting\temp\EA61CE20-860C-11D3-A05D-00104B6909D0}.exe
В этих папках таких объектов нет!
На данный момент это все, что написано. Появится еще что-то - напишу.
Другие версии: .cn, .dw, .o
Другие названия
Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)
| QUOTE |
| Технические детали Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ. При запуске создает на диске файлы (они хранятся внутри основного): * pdx.dll — размер около 20 КБ, упакован UPX; основной компонент; * pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов. Пытается воровать пароли из следующих приложений и служб: * EDialer; * Miranda (ICQ); * MuxaSoft Mdialer; * SAM-файлы; * кешированные сетевые пароли. Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome». Добавляет ключи в системный реестр: [System\CurrentControlSet\Control\MPRServices\TestService] "DLLName"="pdx.dll" "EntryPoint"="CorpseProc" "StackSize"=0x1000 [SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "DllName"="pdx.dll" "Startup"="CorpseProc" "Impersonate"=1 "Asynchronous"=0 "MaxWait"=1 |
Скачиваем мою любимую утилу AVZ
http://z-oleg.com/avz4.zip
Разворачиваем в любой каталог запускаем avz.exe
Чере меню Файл-обновляем базу.
После чего выполняем скрипт
Файл-Выполнить скрипт
просто копируем и вставляем
| QUOTE |
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovwscn.dll',''); BC_DeleteFile('C:\WINDOWS\system32\bt848rom.dll'); BC_DeleteFile('C:\WINDOWS\system32\k53lock.sys'); BC_DeleteFile('C:\WINDOWS\system32\qz.dll'); BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll'); BC_DeleteFile('C:\WINDOWS\system32\qz.sys'); BC_DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); BC_DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end. |
Выполняем - затем проверяем диски через AVZ (не забыв в правом углу поставить крыжик, удалять вирусы)
Потом перегрузись и каспером
| QUOTE (do-do @ 14.08.2007 - время: 12:02) |
| Backdoor.Win32.Haxdoor.a Другие версии: .cn, .dw, .o |
Дело в том, что версии сильно отличаются.
| QUOTE (Altezza @ 14.08.2007 - время: 14:45) |
| do-do, твоя программка почему-то не помогла. ничего не изменилось. |
Попробуй эти файлы вручную удалить. Через какой-нибудь Far manager...
И ещё. Скачай, поставь и пришли нам лог.
Это сообщение отредактировал vertigo1 - 14-08-2007 - 15:00
AVZ - написал хоть чего? когда сканировал
P.S. Попробуй отсортировать по времени файлы в каталоге C:\windows\system32
Особое внимание на dll и exe имеющие время создания близкое к текущему моменту времени
Это сообщение отредактировал do-do - 14-08-2007 - 17:28
Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил.
| QUOTE (Altezza @ 15.08.2007 - время: 09:56) |
| Спасибо всем за помощь! Я решила эту проблему. Просто установила Kaspersky Internet Security 7.0. Он все удалил. |
А было что?
И откуда они взялись только?!
| QUOTE (Altezza @ 16.08.2007 - время: 05:29) |
| Было 8 троянских программ И откуда они взялись только?! |
Я имел в виду, какая версия антивиря была? Базы обновлённые?
| QUOTE (Altezza @ 16.08.2007 - время: 12:56) |
| А, был Kaspersky домашняя версия |
5.0 видимо. Тогда понятно...