Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Backdoor.Win32.Hupidon.agv (заявка № 12575)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35

    Thumbs up Backdoor.Win32.Hupidon.agv

    После включения компьютера антивирус находит в ОП Backdoor.Win32.Hupidon.agv. Удаляет, перезагружается и опять находит.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing)
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
     QuarantineFile('MountMsg.sys','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');     
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    обновите базы AVZ
    повторите логи...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    В дополнение: yа время выполнения скрипта от V_Bond, отключитесь от сети и отключите антивирус Касперского.
    Последний раз редактировалось Numb; 19.09.2007 в 10:26. Причина: Опоздал

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    Все сделала, но проблема не исчезла. Антивирус обнаруживает тот же троян в C:\Windows\system32\cscript.dll/ Удаляет файл, а после перезагрузки все снова.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Tasha9 Посмотреть сообщение
    Все сделала, но проблема не исчезла.
    пока еще ничего ...
    карантин не отправлен ...
    логи не сделаны ...

  7. #6
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    Пардон, не все прочитала. Вот логи. Карантин уже выслала
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    По результатам проверки на Virustotal C:\WINDOWS\system32\Drivers\MountMsg.sys - остается под подозрением.
    Код:
    Avast	4.7.1043.0	2007.09.18	Win32:Agent-IWC
    Пока подождите.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    Это ноутбук, и он отказывается грузиться в безопасном режиме. До загрузки ОС есть только сл. возможности: F2 -BIOS, F10 -DOS, F12 - загрузка с использованием LAN и ESC -выбор загрузочного устройства (CD-ROm, Floppy и др.). F8 в этом меню отсутствует.
    PS: ноут довольно старый

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    F8 в этом меню отсутствует.
    Оно и не должно там присутствовать. Жмите его все равно.
    Ну если никак, сделайте этот доп. лог в обычном режиме.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    Дополнительный лог в безопасносм режиме
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\cscript.dll','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил..

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    mszstb.sys поищите через AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Лог неправильный.
    Видимо забыли переключить на "Все службы и драйверы".
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    C:\WINDOWS\system32\Drivers\MountMsg.sys - Trojan.Win32.Agent.bok (по классификации Касперского) Соответственно, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');     
     BC_deleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');   
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте новые логи.

  17. #16
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    To V_Bond: скрипт выполнила, карантин отправила.
    To PavelA: AVZ не находит файл mszstb.sys.
    ToNumb: скрипт выполнила, новые логии прикладываю.
    ToBratez: дополнительный лог пока не делала, может обычных хватит.
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Не-а не хватит. Нужен, очень нужен доп. лог.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    дополнительный лог

  20. #19
    Junior Member Репутация
    Регистрация
    28.06.2007
    Сообщений
    43
    Вес репутации
    35
    вот он
    Вложения Вложения

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт в Safe Mode:

    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys','');
     QuarantineFile('PartMsg.sys','');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys');
     DeleteFile('MountMsg.sys');
     DeleteFile('PartMsg.sys');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Поискать на диске через AVZ след. наборчик:
    Код:
    User>\Application Data\Microsoft\Media Player\sqmnoopt01.sqm
    <User>\Application Data\Microsoft\Media Player\sqmnoopt02.sqm
    <Temp>\dodolook017.exe
    <System>\mprmsgse.axz
    <System>\mscpx32r.det
    <Temp>\~my7.tmp
    Если найдутся добавить в карантин и загрузить.

    Troj/Agent-FXI - так его называет sophos http://www.sophos.com/security/analy...jagentfxi.html

    После перезагрузки прислать карантин и сделать еще раз этот же лог.
    Последний раз редактировалось PavelA; 20.09.2007 в 11:39.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Tasha9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    2. Ответов: 3
      Последнее сообщение: 11.02.2010, 21:00
    3. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    4. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01217 seconds with 23 queries