Похоже, это Hupigon

Printable View

17.06.2008, 15:59
Firestarter

Похоже, это Hupigon

Добрый день!

Позавчера выловил Backdoor Hupigon и ещё разной мелочи из одного rar-архива. Засекла Avira, но не справилась. Установил KIS7. Вроде бы он справился, но сразу удивило, что удалил только dll-файлы с "дурацкими" именами, и больше ничего. Опасения подтверждаются: что-то постоянно прописывает себя в реестр. KIS7 больше ничего не ловит. Cureit тоже.
Проблема: не открываются некоторые сайты, главным образом поисковые и почтовые, некоторые тормозят.
Собственно, проблема явно в тех двух файлах, которые AVZ фиксирует как перехватчики мыши/клавы. Именно они почему-то прописаны в реестр, хотя их там никто не ждал. Хотя никто, кроме AVZ, не видит в них ничего особенного. Если будет нужно, сразу загружу эти файлы на сервер.
Только корень проблемы явно не в них, а в каком-то другом месте, которое ни один антивирус не ловит...

Заранее спасибо за помощь.

UPD: сорри, запустил AVZ не с последними базами - сейчас подгрузил базы, результат сканирования тот же самый.
17.06.2008, 17:00
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com','');
DelBHO('{935B18E0-BD9B-4C2D-96C2-98481B10530E}');
DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
QuarantineFile('C:\WINDOWS\system32\wvUoNHyY.dll','');
QuarantineFile('C:\WINDOWS\system32\vuwidchw.dll','');
QuarantineFile('C:\WINDOWS\system32\opnlKDVN.dll','');
QuarantineFile('C:\WINDOWS\system32\ikjpoivs.dll','');
DeleteFile('C:\WINDOWS\system32\ikjpoivs.dll');
DeleteFile('C:\WINDOWS\system32\opnlKDVN.dll');
DeleteFile('C:\WINDOWS\system32\vuwidchw.dll');
DeleteFile('C:\WINDOWS\system32\wvUoNHyY.dll');
DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
17.06.2008, 17:19
Firestarter

Скрипт провёл, файл закачал. В карантине оказались только три из запрошенных файлов.
17.06.2008, 17:42
Firestarter

логи

Логи прилагаю.
17.06.2008, 17:46
V_Bond

пофиксите ...
[code]
O2 - BHO: (no name) - {2614C973-6D28-47CF-8B34-26E8AB4C00D5} - C:\WINDOWS\system32\opnlKDVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: wvUoNHyY - C:\WINDOWS\
[/code]
удалите задания в планировщике ...
повторите логи начиная с пункта 10 правил ...
17.06.2008, 17:56
Firestarter

В планировщике висело некое at1, я его уничтожил.

логи прилагаю.
17.06.2008, 17:59
V_Bond

зловредного ничего не видно ....
17.06.2008, 18:29
Firestarter

Большое спасибо! Вроде бы входит и выходит, и в реестр больше ничего не лезет.

Только не бейте: у меня, похоже, и на ноутбуке эта проблема, потому что я открывал с него тот самый зловредный архив. В данный момент в реестре ноутбука чисто, но это после того, как я в очередной раз вручную удалил в safe mode подозрительную dll. Остальные симптомы - те же. Почти уверен, что сейчас что-то полезет в реестр - такое было уже несколько раз, и KIS не мог этого остановить, хотя изо всех сил старался.

Прикладываю логи - ещё раз прошу прощения за дублирование проблемы, но у меня есть сомнения насчёт того, что нужно убирать скриптом.

UPD: Два файла видно сразу - но, может, я чего-то не заметил. Правила форума нарушать не буду, поэтому жду Вашего ответа.
17.06.2008, 18:49
PavelA

Правила уже нарушил ;) У нас на каждый комп отд. тема, чтобы не путаться.
Скрипт вот:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
DelBHO('{136A76F7-9784-4464-8B01-DA5CF424F8D4}');
QuarantineFile('C:\WINDOWS\system32\efcDTKcY.dll','');
QuarantineFile('C:\WINDOWS\system32\qoMffdcA.dll','');
DeleteFile('C:\WINDOWS\system32\qoMffdcA.dll');
DeleteFile('C:\WINDOWS\system32\efcDTKcY.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
17.06.2008, 19:07
Firestarter

Спасибо! А со скриптом я всё-таки не ошибся)

Присобачиваю на всякий случай логи.
17.06.2008, 19:10
PavelA

Карантин пришли, плс. Потом папку карантина можно будет почистить, чтобы Касперский после обновления баз не стал ругаться.
17.06.2008, 19:13
Firestarter

В карантине только один искомый файл, залил. Спасибо.

"чтобы Касперский после обновления баз не стал ругаться."

Стало быть, действительно KIS этой модификации пока не знает, а не у меня руки кривые.
22.02.2009, 05:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ikjpoivs.dll - [B]Trojan.Win32.Monder.uu[/B] (DrWEB: Trojan.Virtumod.based.16)[*] c:\\windows\\system32\\opnlkdvn.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yyc[/B] (DrWEB: Trojan.Virtumod.based.16)[*] c:\\windows\\system32\\qomffdca.dll - [B]Trojan.Win32.Monderc.gen[/B] (DrWEB: Trojan.Virtumod.based.16)[*] c:\\windows\\system32\\vuwidchw.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yxx[/B] (DrWEB: Trojan.Virtumod.based.16)[/LIST][/LIST]