Backdoor.Win32.Hupidon.agv

Printable View

Показывать 40 сообщений этой темы на одной странице

19.09.2007, 10:10
Tasha9

Вложений: 3

Backdoor.Win32.Hupidon.agv

После включения компьютера антивирус находит в ОП Backdoor.Win32.Hupidon.agv. Удаляет, перезагружается и опять находит.
19.09.2007, 10:18
V_Bond

пофиксите ...
[code]
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
QuarantineFile('MountMsg.sys','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[U]обновите базы AVZ[/U]
повторите логи...
19.09.2007, 10:24
Numb

В дополнение: yа время выполнения скрипта от [b]V_Bond[/b], отключитесь от сети и отключите антивирус Касперского.
19.09.2007, 10:34
Tasha9

Все сделала, но проблема не исчезла. Антивирус обнаруживает тот же троян в C:\Windows\system32\cscript.dll/ Удаляет файл, а после перезагрузки все снова.
19.09.2007, 10:38
V_Bond

[QUOTE=Tasha9;135892]Все сделала, но проблема не исчезла.[/QUOTE]
пока еще ничего ...
карантин не отправлен ...
логи не сделаны ...
19.09.2007, 11:06
Tasha9

Вложений: 3

Пардон, не все прочитала. Вот логи. Карантин уже выслала
19.09.2007, 11:38
Numb

По результатам проверки на Virustotal C:\WINDOWS\system32\Drivers\MountMsg.sys - остается под подозрением. [code]Avast 4.7.1043.0 2007.09.18 Win32:Agent-IWC[/code]Пока подождите.
19.09.2007, 12:00
Bratez

Сделайте [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL].
19.09.2007, 12:15
Tasha9

Это ноутбук, и он отказывается грузиться в безопасном режиме. До загрузки ОС есть только сл. возможности: F2 -BIOS, F10 -DOS, F12 - загрузка с использованием LAN и ESC -выбор загрузочного устройства (CD-ROm, Floppy и др.). F8 в этом меню отсутствует.
PS: ноут довольно старый
19.09.2007, 12:32
Bratez

[QUOTE]F8 в этом меню отсутствует.[/QUOTE]
Оно и не должно там присутствовать. Жмите его все равно.
Ну если никак, сделайте этот доп. лог в обычном режиме.
19.09.2007, 12:46
Tasha9

Вложений: 1

Дополнительный лог в безопасносм режиме
19.09.2007, 13:10
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\cscript.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
19.09.2007, 13:22
PavelA

mszstb.sys поищите через AVZ.
19.09.2007, 14:25
Bratez

Лог неправильный.
Видимо забыли переключить на "Все службы и драйверы".
19.09.2007, 22:43
Numb

C:\WINDOWS\system32\Drivers\MountMsg.sys - Trojan.Win32.Agent.bok (по классификации Касперского) Соответственно, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');
BC_deleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи.
20.09.2007, 10:39
Tasha9

Вложений: 3

[SIZE=3][FONT=Times New Roman]To V_Bond: скрипт выполнила, карантин отправила.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]To PavelA: AVZ не находит файл [/FONT][/SIZE][COLOR=black][FONT=Verdana]mszstb.sys.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]To[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT=Verdana]Numb[/FONT][/COLOR][COLOR=black][FONT=Verdana]: скрипт выполнила, новые логии прикладываю.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]To[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT=Verdana]Bratez[/FONT][/COLOR][COLOR=black][FONT=Verdana]: дополнительный лог пока не делала, может обычных хватит. [/FONT][/COLOR]
20.09.2007, 10:47
PavelA

Не-а не хватит. Нужен, очень нужен доп. лог.
20.09.2007, 11:10
Tasha9

дополнительный лог
20.09.2007, 11:20
Tasha9

Вложений: 1

вот он
20.09.2007, 11:33
PavelA

Выполнить скрипт в Safe Mode:

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('PartMsg.sys','');
DeleteFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys');
DeleteFile('MountMsg.sys');
DeleteFile('PartMsg.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Поискать на диске через AVZ след. наборчик:
[CODE]
User>\Application Data\Microsoft\Media Player\sqmnoopt01.sqm
<User>\Application Data\Microsoft\Media Player\sqmnoopt02.sqm
<Temp>\dodolook017.exe
<System>\mprmsgse.axz
<System>\mscpx32r.det
<Temp>\~my7.tmp[/CODE]
Если найдутся добавить в карантин и загрузить.

Troj/Agent-FXI - так его называет sophos [url]http://www.sophos.com/security/analyses/trojagentfxi.html[/url]

После перезагрузки прислать карантин и сделать еще раз этот же лог.

Показывать 40 сообщений этой темы на одной странице