Hupigon.agy.5 и mszstb.dll

**СВАН** · 12.07.2007, 15:06

Уважаемые специалисты! Поможите, кто можете... Ничем не лечится подлый троян.

Файлы с логами вложены. Основная проблема - Hupigon.agy.5, который обнаруживается программами AntiVir Guard и Касперским (платным), но не лечится, поскольку при этом "не существует" (???). При каждой загрузке AntiVir Guard выдаёт 16 предупреждений о его существовании, 16 раз я его удаляю, а толку нет. Восстановление системы отключено. При перезагрузке - та же история.

Вторая проблема - при загрузке выдаётся сообщение "не могу обнаружить модуль mszstb.dll". Тыкаешь ОК - оно исчезает без последствий. В памяти засело, что был когда-то вирус с таким названием, но ни одно сканирование не позволяет "зачистить хвосты", чтобы сообщение перестало появляться. Файлов mszstb.exe в системе нет.

С надеждой жду Вашей помощи.
СВАН

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 12.07.2007, 15:16

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\Manager.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
 QuarantineFile('C:\WINDOWS\system32\mszstb.dll','');
 QuarantineFile('C:\WINDOWS\system32\mdn.exe','');
 QuarantineFile('C:\WINDOWS\system\SMSS.exe','');
 QuarantineFile('C:\WINDOWS\system32\notaped.exe','');
 QuarantineFile('C:\Program Files\Золотой фонд\mmdtp.dll','');
 QuarantineFile('C:\WINDOWS\system32\msurlpar.dll','');
 QuarantineFile('C:\WINDOWS\system32\LYLoadqr.exe','');
 QuarantineFile('C:\WINDOWS\system32\LYLoador.exe','');
 QuarantineFile('C:\WINDOWS\system32\LYLoadhr.exe','');
 QuarantineFile('C:\WINDOWS\system32\LYLoadbr.exe','');
 QuarantineFile('C:\WINDOWS\system32\LYLoadar.exe','');
 QuarantineFile('C:\WINDOWS\system32\LYLeador.exe','');
 QuarantineFile('C:\WINDOWS\system32\smrss.dll','');
 QuarantineFile('C:\WINDOWS\system32\Manager.dll','');
 QuarantineFile('system32\DRIVERS\ssmdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\mszstb.dll');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

Пришлите файлы карантина по правилам раздела "Помогите".

**СВАН** · 12.07.2007, 16:00

Не помогло. Интересно, что при автоматической перезагрузке после AVZ сообщений об обнаружении трояна уже не было (я сказал "Вау!"). Но при перезагрузке после HijackThis они появились снова.

Сообщение о mszstb.dll появляется без изменений. Полный текст:
"Ошибка при загрузке C:\WINDOWS\system32\mszstb.dll
Не найден указанный модуль"

Карантинные файлы загрузить не могу - превысил предел на форуме. Можно ли удалить файлы, размещенные ранее?

СВАН

**Макcим** · 12.07.2007, 16:13

Карантин нужно закачать через ссылку "Прислать запрошенные файлы".

**Rene-gad** · 12.07.2007, 16:21

Сообщение от СВАН

Сообщение о mszstb.dll появляется без изменений. Полный текст:
"Ошибка при загрузке C:\WINDOWS\system32\mszstb.dll
Не найден указанный модуль"

Эту песню Вы будете слышать пока не пофиксите эту запись

O4 - HKLM\..\Run: [mszstb] RunDll32 "C:\WINDOWS\system32\mszstb.dll",Run

**СВАН** · 12.07.2007, 17:12

Уважаемый Rene-gad,
Благодаря Вашему совету проблема с mszstb решена - сообщение больше не выводится.

Уважаемый Maxim,
Проблема в том, что карантин слишком велик по размеру - целиком он в сообщение на Форуме вложен быть не может. Я разбил его на 3 части (Virus1, 2, 3), и первые две вкладываю. На этом объём вложений исчерпан. Сообщите пожалуйста, когда я могу удалить эти части, и залить третью.

Заранее спасибо.
СВАН

**drongo** · 12.07.2007, 17:15

А что не понятно?
запрошенный архив присылать по ссылке http://virusinfo.info/upload_virus.php?tid=11011 одним файлом как сказано в приложении 3 правил , читайте внимательней и никак иначе.

**СВАН** · 13.07.2007, 09:54

Извиняюсь за недопонимание. Прислал.

СВАН

**drongo** · 13.07.2007, 14:40

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\Manager.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
 DeleteFile('C:\WINDOWS\system32\msurlpar.dll');
 DeleteFile('C:\WINDOWS\system32\mdn.exe');
 DeleteFile('C:\WINDOWS\system32\notaped.exe');
 DeleteFile('C:\WINDOWS\system32\msurlpar.dll');
 DeleteFile('C:\WINDOWS\system32\LYLoadqr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoador.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadhr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadbr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadar.exe');
 DeleteFile('C:\WINDOWS\system32\LYLeador.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи и прикрепите к следующему сообщению

**СВАН** · 13.07.2007, 15:18

Скрипт выполнить не удалось. Возникает сообщение:
"Ошибка: To many actual parameters в позиции 4:12"

СВАН

**Макcим** · 13.07.2007, 15:24

Исправлено.

**drongo** · 13.07.2007, 19:08

Извиняюсь за описку, как дела на фронте ?

**СВАН** · 16.07.2007, 09:15

Добрый день! После исполнения скрипта и перезагрузки я сначала очень обрадовался: обнаружений трояна больше не было. Однако потом я обнаружил, что скрипт деактивировал антивирус (AntiVir Guard). После его ре-активирования троян был немедленно обнаружен снова на том же месте в C:/WINDOWS/system32/manager.dll - тот же Hupigon.agy.5. Что делать?

**Muzzle** · 16.07.2007, 09:24

Сделайте логи,об этом вас просил drongo в посте #9

**СВАН** · 16.07.2007, 12:54

Виноват, вот логи.
СВАН

**drongo** · 16.07.2007, 13:19

Забавно

Проверьте: отключили ли вы систему восстановления системы или какой-нибудь другую программу, которая охраняет реестр от изменений. Отключите сейчас, если ранее забыли и выгрузите антивирус. Отключитесь от интернета.
Затем :
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Policies\Explorer\Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32    ] LYLeador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDOG32] LYLoador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDSG32] LYLoadar.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDQG32] LYLoadqr.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\Manager.dll
O20 - Winlogon Notify: MicroQC - smrss.dll (file missing)
O23 - Service: Messenger Accelerator (Accelerator Tools) - Unknown owner - C:\WINDOWS\system32\mdn.exe (file missing)
O23 - Service: killwin - Unknown owner - C:\WINDOWS\system\SMSS.exe (file missing)

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\msurlpar.dll');
 DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\system32\Manager.dll');
 DeleteFile('C:\WINDOWS\system32\LYLoadqr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoador.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadhr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadbr.exe');
 DeleteFile('C:\WINDOWS\system32\LYLoadar.exe');
 DeleteFile('C:\WINDOWS\system32\LYLeador.exe');
 ExecuteRepair(6);
 ExecuteRepair(9);
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Сделайте новые логи, затем включите антивирус и прикрепите новые логи к следующему сообщению.

Добавлено через 10 минут
скрипт поправил. Выполните сейчас.

**СВАН** · 16.07.2007, 19:06

Восстановление системы было отключено, от Интернета я отключился, антивирус убрал (потом включил снова).
Интересно, что при открытии HijackThis не обнаружилось строчки O20 - AppInit_DLLs: C:\WINDOWS\system32\Manager.dll !!!

Логи прилагаю.

Становится всё интереснее и интереснее... Хотя неправильное слово, конечно.

СВАН

**PavelA** · 16.07.2007, 19:36

Я бы сказал по-другому - чище и чище.
Проблемы остались? вроде бы все вычистили.

**drongo** · 16.07.2007, 20:08

Отключите сейчас, если ранее забыли и выгрузите антивирус. Отключитесь от интернета.

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll (file missing)
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing)
O2 - BHO: MSURL Class - {6CDD9D1F-7501-4B0F-90CD-5ADA4F15E6E8} - C:\WINDOWS\system32\msurlpar.dll (file missing)
O23 - Service: Medie Sariel Number Service - Unknown owner - C:\WINDOWS\system32\notaped.exe (file missing)
O23 - Service: Messenger Accelerator (Accelerator Tools) - Unknown owner - C:\WINDOWS\system32\mdn.exe (file missing)

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\MountMsg.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\PartMsg.sys','');
 QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msurlpar.dll','');
 QuarantineFile('C:\Program Files\DeskAdTop\deskipn.dll','');
 DeleteFile('C:\WINDOWS\system32\msurlpar.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
 DeleteFile('C:\Program Files\DeskAdTop\deskipn.dll');
 BC_DeleteSvc('WinDHCPsvc');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

начните отключать не нужные сервисы:
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

Сделайте новые логи, затем включите антивирус и прикрепите новые логи к следующему сообщению.
Пришлите файлы карантина по правилам раздела "Помогите".

Добавлено через 21 минуту
вы по китайским сайтам лазили ? Поправил скрипт, ждём улова

**СВАН** · 17.07.2007, 12:42

Большое спасибо, всё сделал, как указано. Архив карантина сейчас вложу.
По китайским сайтам я сроду не ходил, но вообще ВСЕ проблемы с этим компьютером начались с того, что начала всплывать реклама на китайском языке, в адресной строке эксплорера 6 появилась надпись на китайском, и он стал дико тормозить. Я сменил на 7, обновил антивирусы, и всё китайское исчезло. А Вы говорите - оно есть? Или его хвосты?

СВАН