-
Junior Member
- Вес репутации
- 58
Похоже, это Hupigon
Добрый день!
Позавчера выловил Backdoor Hupigon и ещё разной мелочи из одного rar-архива. Засекла Avira, но не справилась. Установил KIS7. Вроде бы он справился, но сразу удивило, что удалил только dll-файлы с "дурацкими" именами, и больше ничего. Опасения подтверждаются: что-то постоянно прописывает себя в реестр. KIS7 больше ничего не ловит. Cureit тоже.
Проблема: не открываются некоторые сайты, главным образом поисковые и почтовые, некоторые тормозят.
Собственно, проблема явно в тех двух файлах, которые AVZ фиксирует как перехватчики мыши/клавы. Именно они почему-то прописаны в реестр, хотя их там никто не ждал. Хотя никто, кроме AVZ, не видит в них ничего особенного. Если будет нужно, сразу загружу эти файлы на сервер.
Только корень проблемы явно не в них, а в каком-то другом месте, которое ни один антивирус не ловит...
Заранее спасибо за помощь.
UPD: сорри, запустил AVZ не с последними базами - сейчас подгрузил базы, результат сканирования тот же самый.
Последний раз редактировалось Firestarter; 17.06.2008 в 16:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com','');
DelBHO('{935B18E0-BD9B-4C2D-96C2-98481B10530E}');
DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
QuarantineFile('C:\WINDOWS\system32\wvUoNHyY.dll','');
QuarantineFile('C:\WINDOWS\system32\vuwidchw.dll','');
QuarantineFile('C:\WINDOWS\system32\opnlKDVN.dll','');
QuarantineFile('C:\WINDOWS\system32\ikjpoivs.dll','');
DeleteFile('C:\WINDOWS\system32\ikjpoivs.dll');
DeleteFile('C:\WINDOWS\system32\opnlKDVN.dll');
DeleteFile('C:\WINDOWS\system32\vuwidchw.dll');
DeleteFile('C:\WINDOWS\system32\wvUoNHyY.dll');
DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Скрипт провёл, файл закачал. В карантине оказались только три из запрошенных файлов.
-
Junior Member
- Вес репутации
- 58
-
пофиксите ...
Код:
O2 - BHO: (no name) - {2614C973-6D28-47CF-8B34-26E8AB4C00D5} - C:\WINDOWS\system32\opnlKDVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: wvUoNHyY - C:\WINDOWS\
удалите задания в планировщике ...
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 58
В планировщике висело некое at1, я его уничтожил.
логи прилагаю.
-
зловредного ничего не видно ....
-
-
Junior Member
- Вес репутации
- 58
Большое спасибо! Вроде бы входит и выходит, и в реестр больше ничего не лезет.
Только не бейте: у меня, похоже, и на ноутбуке эта проблема, потому что я открывал с него тот самый зловредный архив. В данный момент в реестре ноутбука чисто, но это после того, как я в очередной раз вручную удалил в safe mode подозрительную dll. Остальные симптомы - те же. Почти уверен, что сейчас что-то полезет в реестр - такое было уже несколько раз, и KIS не мог этого остановить, хотя изо всех сил старался.
Прикладываю логи - ещё раз прошу прощения за дублирование проблемы, но у меня есть сомнения насчёт того, что нужно убирать скриптом.
UPD: Два файла видно сразу - но, может, я чего-то не заметил. Правила форума нарушать не буду, поэтому жду Вашего ответа.
Последний раз редактировалось Firestarter; 17.06.2008 в 18:36.
Причина: посмотрел лог, настроение испортилось...
-
Правила уже нарушил У нас на каждый комп отд. тема, чтобы не путаться.
Скрипт вот:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
DelBHO('{136A76F7-9784-4464-8B01-DA5CF424F8D4}');
QuarantineFile('C:\WINDOWS\system32\efcDTKcY.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMffdcA.dll','');
DeleteFile('C:\WINDOWS\system32\qoMffdcA.dll');
DeleteFile('C:\WINDOWS\system32\efcDTKcY.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Спасибо! А со скриптом я всё-таки не ошибся)
Присобачиваю на всякий случай логи.
-
Карантин пришли, плс. Потом папку карантина можно будет почистить, чтобы Касперский после обновления баз не стал ругаться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
В карантине только один искомый файл, залил. Спасибо.
"чтобы Касперский после обновления баз не стал ругаться."
Стало быть, действительно KIS этой модификации пока не знает, а не у меня руки кривые.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ikjpoivs.dll - Trojan.Win32.Monder.uu (DrWEB: Trojan.Virtumod.based.16)
- c:\\windows\\system32\\opnlkdvn.dll - not-a-virus:AdWare.Win32.Virtumonde.yyc (DrWEB: Trojan.Virtumod.based.16)
- c:\\windows\\system32\\qomffdca.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.based.16)
- c:\\windows\\system32\\vuwidchw.dll - not-a-virus:AdWare.Win32.Virtumonde.yxx (DrWEB: Trojan.Virtumod.based.16)
-