Показано с 1 по 13 из 13.

Похоже, это Hupigon (заявка № 24769)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35

    Question Похоже, это Hupigon

    Добрый день!

    Позавчера выловил Backdoor Hupigon и ещё разной мелочи из одного rar-архива. Засекла Avira, но не справилась. Установил KIS7. Вроде бы он справился, но сразу удивило, что удалил только dll-файлы с "дурацкими" именами, и больше ничего. Опасения подтверждаются: что-то постоянно прописывает себя в реестр. KIS7 больше ничего не ловит. Cureit тоже.
    Проблема: не открываются некоторые сайты, главным образом поисковые и почтовые, некоторые тормозят.
    Собственно, проблема явно в тех двух файлах, которые AVZ фиксирует как перехватчики мыши/клавы. Именно они почему-то прописаны в реестр, хотя их там никто не ждал. Хотя никто, кроме AVZ, не видит в них ничего особенного. Если будет нужно, сразу загружу эти файлы на сервер.
    Только корень проблемы явно не в них, а в каком-то другом месте, которое ни один антивирус не ловит...


    Заранее спасибо за помощь.

    UPD: сорри, запустил AVZ не с последними базами - сейчас подгрузил базы, результат сканирования тот же самый.
    Последний раз редактировалось Firestarter; 17.06.2008 в 15:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com','');
     DelBHO('{935B18E0-BD9B-4C2D-96C2-98481B10530E}');
     DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
     QuarantineFile('C:\WINDOWS\system32\wvUoNHyY.dll','');
     QuarantineFile('C:\WINDOWS\system32\vuwidchw.dll','');
     QuarantineFile('C:\WINDOWS\system32\opnlKDVN.dll','');
     QuarantineFile('C:\WINDOWS\system32\ikjpoivs.dll','');
     DeleteFile('C:\WINDOWS\system32\ikjpoivs.dll');
     DeleteFile('C:\WINDOWS\system32\opnlKDVN.dll');
     DeleteFile('C:\WINDOWS\system32\vuwidchw.dll');
     DeleteFile('C:\WINDOWS\system32\wvUoNHyY.dll');
     DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\WowTumpeh.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35
    Скрипт провёл, файл закачал. В карантине оказались только три из запрошенных файлов.

  5. #4
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35

    логи

    Логи прилагаю.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {2614C973-6D28-47CF-8B34-26E8AB4C00D5} - C:\WINDOWS\system32\opnlKDVN.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - Winlogon Notify: wvUoNHyY - C:\WINDOWS\
    удалите задания в планировщике ...
    повторите логи начиная с пункта 10 правил ...

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35
    В планировщике висело некое at1, я его уничтожил.

    логи прилагаю.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    зловредного ничего не видно ....

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35
    Большое спасибо! Вроде бы входит и выходит, и в реестр больше ничего не лезет.

    Только не бейте: у меня, похоже, и на ноутбуке эта проблема, потому что я открывал с него тот самый зловредный архив. В данный момент в реестре ноутбука чисто, но это после того, как я в очередной раз вручную удалил в safe mode подозрительную dll. Остальные симптомы - те же. Почти уверен, что сейчас что-то полезет в реестр - такое было уже несколько раз, и KIS не мог этого остановить, хотя изо всех сил старался.

    Прикладываю логи - ещё раз прошу прощения за дублирование проблемы, но у меня есть сомнения насчёт того, что нужно убирать скриптом.

    UPD: Два файла видно сразу - но, может, я чего-то не заметил. Правила форума нарушать не буду, поэтому жду Вашего ответа.
    Последний раз редактировалось Firestarter; 17.06.2008 в 17:36. Причина: посмотрел лог, настроение испортилось...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Правила уже нарушил У нас на каждый комп отд. тема, чтобы не путаться.
    Скрипт вот:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{280EE6F9-E414-4D35-8FEF-8180BB5AC916}');
     DelBHO('{136A76F7-9784-4464-8B01-DA5CF424F8D4}');
     QuarantineFile('C:\WINDOWS\system32\efcDTKcY.dll','');
     QuarantineFile('C:\WINDOWS\system32\qoMffdcA.dll','');
     DeleteFile('C:\WINDOWS\system32\qoMffdcA.dll');
     DeleteFile('C:\WINDOWS\system32\efcDTKcY.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35
    Спасибо! А со скриптом я всё-таки не ошибся)

    Присобачиваю на всякий случай логи.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин пришли, плс. Потом папку карантина можно будет почистить, чтобы Касперский после обновления баз не стал ругаться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    28
    Вес репутации
    35
    В карантине только один искомый файл, залил. Спасибо.

    "чтобы Касперский после обновления баз не стал ругаться."

    Стало быть, действительно KIS этой модификации пока не знает, а не у меня руки кривые.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ikjpoivs.dll - Trojan.Win32.Monder.uu (DrWEB: Trojan.Virtumod.based.16)
      2. c:\\windows\\system32\\opnlkdvn.dll - not-a-virus:AdWare.Win32.Virtumonde.yyc (DrWEB: Trojan.Virtumod.based.16)
      3. c:\\windows\\system32\\qomffdca.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.based.16)
      4. c:\\windows\\system32\\vuwidchw.dll - not-a-virus:AdWare.Win32.Virtumonde.yxx (DrWEB: Trojan.Virtumod.based.16)


  • Уважаемый(ая) Firestarter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы, включая Hupigon!!
      От Faringit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.11.2010, 17:42
    2. PREALD-K, HUPIGON-LIE
      От NIKOLAI в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.08.2009, 23:45
    3. Новый Hupigon
      От СВАН в разделе Помогите!
      Ответов: 39
      Последнее сообщение: 22.02.2009, 02:15
    4. Backdoor.Win32.Hupigon.fck
      От Yurgen в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:08
    5. Hupigon.agy.5 и mszstb.dll
      От СВАН в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 02:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00171 seconds with 16 queries