Похоже, это Hupigon

**Firestarter** · 17.06.2008, 15:59

Добрый день!

Позавчера выловил Backdoor Hupigon и ещё разной мелочи из одного rar-архива. Засекла Avira, но не справилась. Установил KIS7. Вроде бы он справился, но сразу удивило, что удалил только dll-файлы с "дурацкими" именами, и больше ничего. Опасения подтверждаются: что-то постоянно прописывает себя в реестр. KIS7 больше ничего не ловит. Cureit тоже.
Проблема: не открываются некоторые сайты, главным образом поисковые и почтовые, некоторые тормозят.
Собственно, проблема явно в тех двух файлах, которые AVZ фиксирует как перехватчики мыши/клавы. Именно они почему-то прописаны в реестр, хотя их там никто не ждал. Хотя никто, кроме AVZ, не видит в них ничего особенного. Если будет нужно, сразу загружу эти файлы на сервер.
Только корень проблемы явно не в них, а в каком-то другом месте, которое ни один антивирус не ловит...

Заранее спасибо за помощь.

UPD: сорри, запустил AVZ не с последними базами - сейчас подгрузил базы, результат сканирования тот же самый.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 17.06.2008, 17:00

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com','');
 DelBHO('{935B18E0-BD9B-4C2D-96C2-98481B10530E}');
 DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
 QuarantineFile('C:\WINDOWS\system32\wvUoNHyY.dll','');
 QuarantineFile('C:\WINDOWS\system32\vuwidchw.dll','');
 QuarantineFile('C:\WINDOWS\system32\opnlKDVN.dll','');
 QuarantineFile('C:\WINDOWS\system32\ikjpoivs.dll','');
 DeleteFile('C:\WINDOWS\system32\ikjpoivs.dll');
 DeleteFile('C:\WINDOWS\system32\opnlKDVN.dll');
 DeleteFile('C:\WINDOWS\system32\vuwidchw.dll');
 DeleteFile('C:\WINDOWS\system32\wvUoNHyY.dll');
 DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**Firestarter** · 17.06.2008, 17:19

Скрипт провёл, файл закачал. В карантине оказались только три из запрошенных файлов.

**Firestarter** · 17.06.2008, 17:42

Логи прилагаю.

**V_Bond** · 17.06.2008, 17:46

пофиксите ...

Код:

O2 - BHO: (no name) - {2614C973-6D28-47CF-8B34-26E8AB4C00D5} - C:\WINDOWS\system32\opnlKDVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: wvUoNHyY - C:\WINDOWS\

удалите задания в планировщике ...
повторите логи начиная с пункта 10 правил ...

**Firestarter** · 17.06.2008, 17:56

В планировщике висело некое at1, я его уничтожил.

логи прилагаю.

**V_Bond** · 17.06.2008, 17:59

зловредного ничего не видно ....

**Firestarter** · 17.06.2008, 18:29

Большое спасибо! Вроде бы входит и выходит, и в реестр больше ничего не лезет.

Только не бейте: у меня, похоже, и на ноутбуке эта проблема, потому что я открывал с него тот самый зловредный архив. В данный момент в реестре ноутбука чисто, но это после того, как я в очередной раз вручную удалил в safe mode подозрительную dll. Остальные симптомы - те же. Почти уверен, что сейчас что-то полезет в реестр - такое было уже несколько раз, и KIS не мог этого остановить, хотя изо всех сил старался.

Прикладываю логи - ещё раз прошу прощения за дублирование проблемы, но у меня есть сомнения насчёт того, что нужно убирать скриптом.

UPD: Два файла видно сразу - но, может, я чего-то не заметил. Правила форума нарушать не буду, поэтому жду Вашего ответа.

**PavelA** · 17.06.2008, 18:49

Правила уже нарушил

У нас на каждый комп отд. тема, чтобы не путаться.
Скрипт вот:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
 DelBHO('{136A76F7-9784-4464-8B01-DA5CF424F8D4}');
 QuarantineFile('C:\WINDOWS\system32\efcDTKcY.dll','');
 QuarantineFile('C:\WINDOWS\system32\qoMffdcA.dll','');
 DeleteFile('C:\WINDOWS\system32\qoMffdcA.dll');
 DeleteFile('C:\WINDOWS\system32\efcDTKcY.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**Firestarter** · 17.06.2008, 19:07

Спасибо! А со скриптом я всё-таки не ошибся)

Присобачиваю на всякий случай логи.

**PavelA** · 17.06.2008, 19:10

Карантин пришли, плс. Потом папку карантина можно будет почистить, чтобы Касперский после обновления баз не стал ругаться.

**Firestarter** · 17.06.2008, 19:13

В карантине только один искомый файл, залил. Спасибо.

"чтобы Касперский после обновления баз не стал ругаться."

Стало быть, действительно KIS этой модификации пока не знает, а не у меня руки кривые.

**CyberHelper** · 22.02.2009, 05:59

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\ikjpoivs.dll - Trojan.Win32.Monder.uu (DrWEB: Trojan.Virtumod.based.16)
2. c:\\windows\\system32\\opnlkdvn.dll - not-a-virus:AdWare.Win32.Virtumonde.yyc (DrWEB: Trojan.Virtumod.based.16)
3. c:\\windows\\system32\\qomffdca.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.based.16)
4. c:\\windows\\system32\\vuwidchw.dll - not-a-virus:AdWare.Win32.Virtumonde.yxx (DrWEB: Trojan.Virtumod.based.16)

Похоже, это Hupigon (заявка № 24769)

Опции темы

Похоже, это Hupigon

логи

Итог лечения

Похожие темы

Вирусы, включая Hupigon!!

PREALD-K, HUPIGON-LIE

Новый Hupigon

Backdoor.Win32.Hupigon.fck

Hupigon.agy.5 и mszstb.dll

Ваши права в разделе