Backdoor.Win32.Hupidon.agv

Printable View

19.09.2007, 10:10
Tasha9

Вложений: 3

Backdoor.Win32.Hupidon.agv

После включения компьютера антивирус находит в ОП Backdoor.Win32.Hupidon.agv. Удаляет, перезагружается и опять находит.
19.09.2007, 10:18
V_Bond

пофиксите ...
[code]
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
QuarantineFile('MountMsg.sys','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[U]обновите базы AVZ[/U]
повторите логи...
19.09.2007, 10:24
Numb

В дополнение: yа время выполнения скрипта от [b]V_Bond[/b], отключитесь от сети и отключите антивирус Касперского.
19.09.2007, 10:34
Tasha9

Все сделала, но проблема не исчезла. Антивирус обнаруживает тот же троян в C:\Windows\system32\cscript.dll/ Удаляет файл, а после перезагрузки все снова.
19.09.2007, 10:38
V_Bond

[QUOTE=Tasha9;135892]Все сделала, но проблема не исчезла.[/QUOTE]
пока еще ничего ...
карантин не отправлен ...
логи не сделаны ...
19.09.2007, 11:06
Tasha9

Вложений: 3

Пардон, не все прочитала. Вот логи. Карантин уже выслала
19.09.2007, 11:38
Numb

По результатам проверки на Virustotal C:\WINDOWS\system32\Drivers\MountMsg.sys - остается под подозрением. [code]Avast 4.7.1043.0 2007.09.18 Win32:Agent-IWC[/code]Пока подождите.
19.09.2007, 12:00
Bratez

Сделайте [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL].
19.09.2007, 12:15
Tasha9

Это ноутбук, и он отказывается грузиться в безопасном режиме. До загрузки ОС есть только сл. возможности: F2 -BIOS, F10 -DOS, F12 - загрузка с использованием LAN и ESC -выбор загрузочного устройства (CD-ROm, Floppy и др.). F8 в этом меню отсутствует.
PS: ноут довольно старый
19.09.2007, 12:32
Bratez

[QUOTE]F8 в этом меню отсутствует.[/QUOTE]
Оно и не должно там присутствовать. Жмите его все равно.
Ну если никак, сделайте этот доп. лог в обычном режиме.
19.09.2007, 12:46
Tasha9

Вложений: 1

Дополнительный лог в безопасносм режиме
19.09.2007, 13:10
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\cscript.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
19.09.2007, 13:22
PavelA

mszstb.sys поищите через AVZ.
19.09.2007, 14:25
Bratez

Лог неправильный.
Видимо забыли переключить на "Все службы и драйверы".
19.09.2007, 22:43
Numb

C:\WINDOWS\system32\Drivers\MountMsg.sys - Trojan.Win32.Agent.bok (по классификации Касперского) Соответственно, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');
BC_deleteFile('C:\WINDOWS\system32\Drivers\MountMsg.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи.
20.09.2007, 10:39
Tasha9

Вложений: 3

[SIZE=3][FONT=Times New Roman]To V_Bond: скрипт выполнила, карантин отправила.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]To PavelA: AVZ не находит файл [/FONT][/SIZE][COLOR=black][FONT=Verdana]mszstb.sys.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]To[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT=Verdana]Numb[/FONT][/COLOR][COLOR=black][FONT=Verdana]: скрипт выполнила, новые логии прикладываю.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]To[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT=Verdana]Bratez[/FONT][/COLOR][COLOR=black][FONT=Verdana]: дополнительный лог пока не делала, может обычных хватит. [/FONT][/COLOR]
20.09.2007, 10:47
PavelA

Не-а не хватит. Нужен, очень нужен доп. лог.
20.09.2007, 11:10
Tasha9

дополнительный лог
20.09.2007, 11:20
Tasha9

Вложений: 1

вот он
20.09.2007, 11:33
PavelA

Выполнить скрипт в Safe Mode:

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('PartMsg.sys','');
DeleteFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys');
DeleteFile('MountMsg.sys');
DeleteFile('PartMsg.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Поискать на диске через AVZ след. наборчик:
[CODE]
User>\Application Data\Microsoft\Media Player\sqmnoopt01.sqm
<User>\Application Data\Microsoft\Media Player\sqmnoopt02.sqm
<Temp>\dodolook017.exe
<System>\mprmsgse.axz
<System>\mscpx32r.det
<Temp>\~my7.tmp[/CODE]
Если найдутся добавить в карантин и загрузить.

Troj/Agent-FXI - так его называет sophos [url]http://www.sophos.com/security/analyses/trojagentfxi.html[/url]

После перезагрузки прислать карантин и сделать еще раз этот же лог.
20.09.2007, 12:02
Tasha9

Вложений: 1

карантин оказался пустым. А новый лог - вот
20.09.2007, 12:23
PavelA

еще разок в Safe Mode:

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
20.09.2007, 12:38
Tasha9

Все сделала. В карантине пусто. Касперский по-прежнему обнаруживает троян
20.09.2007, 12:53
V_Bond

C:\WINDOWS\system32\cscript.dll [b]Backdoor.Win32.Hupigon.aqy[/b]
еще такой скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
21.09.2007, 11:19
Tasha9

Вложений: 3

скрипты выполнила. Вот логи
21.09.2007, 11:25
PavelA

Нужен еще разок доп. лог.
Плюс надо закрывать дырки в системе.
21.09.2007, 11:36
Tasha9

Вложений: 1

Вот лог. Какие дырки и как их закрыть?
21.09.2007, 11:42
PavelA

Лог последний чистый.
Что из этого не используется? Можно написать скрипт чтобы закрыть, либо делайте сами.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
21.09.2007, 12:16
Tasha9

Спасибо за помощь. Со службами я сама справлюсь. А может еще объясните, как этот cscript в ОП загружался? Откуда у него ноги растут?
22.02.2009, 02:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cscript.dll - [B]Backdoor.Win32.Hupigon.aqy[/B] (DrWEB: Trojan.DownLoader.33452)[*] c:\\windows\\system32\\drivers\\mountmsg.sys - [B]Trojan.Win32.Agent.bok[/B] (DrWEB: Trojan.DownLoad.3908)[/LIST][/LIST]