Win32:hupigon-lie

cymek_pl · 28 Luty 2010 19:23

Avast krzyczy o obecności Win32:hupigon-lie

proszę o pomoc

Gutek · 28 Luty 2010 22:13

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny.

Pozdrawiam Gutek

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:Processes Explorer.EXE :OTL PRC - File not found – C:\DOCUME~1\cymson\USTAWI~1\Temp\iqgfypvt.exe PRC - [2010-02-28 11:55:48 | 000,021,504 | ---- | M] (TWX Corp.) – C:\Documents and Settings\cymson\Ustawienia lokalne\Temp\degukpy.exe PRC - [2010-02-28 11:55:23 | 000,090,624 | ---- | M] (O,BzqiOqT) – C:\Documents and Settings\cymson\Ustawienia lokalne\Temp\479.exe PRC - [2010-02-28 11:55:23 | 000,019,968 | ---- | M] (TWX Corp.) – C:\Documents and Settings\cymson\Ustawienia lokalne\Temp\175.exe PRC - [2010-02-27 16:26:41 | 000,023,040 | ---- | M] () – c:\lsass.exe FF - prefs.js…browser.search.defaultenginename: “Fast Browser Search” FF - prefs.js…browser.search.defaultthis.engineName: “Fast Browser Search” FF - prefs.js…browser.search.defaulturl: “http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=” FF - prefs.js…browser.search.order.1: “Fast Browser Search” FF - prefs.js…browser.search.selectedEngine: “Fast Browser Search” FF - prefs.js…keyword.URL: “http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={A6DB3CE2-2CDB-13BC-AA95-B9E51B09F847}&q=” O4 - HKLM…\Run: [27712] C:\DOCUME~1\cymson\USTAWI~1\Temp\iqgfypvt.exe File not found O4 - Startup: C:\Documents and Settings\cymson\Menu Start\Programy\Autostart\sysfgs32.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe) - C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe) - C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe () O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe) - C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe () [2010-02-27 16:26:41 | 000,023,040 | ---- | M] () – C:\lsass.exe [2010-02-27 07:10:10 | 000,042,496 | ---- | M] () – C:\WINDOWS\System32\msxsltsso.dll [2010-02-27 06:41:42 | 000,000,148 | ---- | M] () – C:\WINDOWS\System32\fjhdyfhsn.bat [2010-02-27 06:41:27 | 000,000,004 | ---- | M] () – C:\Documents and Settings\cymson\Dane aplikacji\avdrn.dat [2010-02-27 07:10:24 | 000,000,038 | ---- | C] () – C:{6b56be58-bad9-4c6f-86ad-48e4be2392d9} [2010-02-27 07:10:10 | 000,042,496 | ---- | C] () – C:\WINDOWS\System32\msxsltsso.dll [2010-02-27 07:10:10 | 000,023,040 | ---- | C] () – C:\lsass.exe [2010-02-27 06:41:41 | 000,000,148 | ---- | C] () – C:\WINDOWS\System32\fjhdyfhsn.bat [2010-02-27 06:41:27 | 000,000,004 | ---- | C] () – C:\Documents and Settings\cymson\Dane aplikacji\avdrn.dat [2010-02-27 06:41:24 | 000,000,004 | ---- | C] () – C:\Documents and Settings\cymson\Dane aplikacji\wiaservg.log :Files C:\WINDOWS\System32\msxsltsso.dll C:\RECYCLER C:\DOCUME~1\cymson\USTAWI~1\Temp C:\WINDOWS\System32\fjhdyfhsn.bat C:\Documents and Settings\cymson\Dane aplikacji\avdrn.dat C:\Documents and Settings\cymson\Dane aplikacji\wiaservg.log :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

cymek_pl · 1 Marzec 2010 23:15

sprawa wygląda tak… zrobiłem skana dr web’em, a później próbowałem zastosować się do Twojej rady… jakoś tak z automatu tak postąpiłem…

niestety, OTL stwierdził, że nie może znaleźć pliku…

generalnie prosiłbym o ponowne sprawdzenie loga OTL po skanie dr web’em

http://www.wklej.org/id/288787/

z góry dzięki

jessica · 2 Marzec 2010 11:45

Ten plik Systemowy był modyfikowany 28 lutego. Nie mam XP home, ale wydaje mi się, że rozmiar jest większy od normalnego.

Czyżby został zarażony?

Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL.

To jest oznaka wirusa VIRUT, który zaraża wszystkie pliki .exe.

Czy już został całkowicie usunięty?

Czy Dr.Web już go nie wykrywa?

Znasz to powyższe?

Tego Rootkita OTL chyba nie usunie, bo nawet nie widzi jego usługi - usuniemy go Avengerem.

Rootkit pojawił się prawie jednocześnie z modyfikacją pliku Systemowego ndis.sys , więc to może on go zmodyfikował?

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\xsekzl.sys

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\cymson\Dane aplikacji\avdrn.dat


Folders to delete:

C:\RECYCLER


Drivers to delete:

xsekzl

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Potem:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL FF - prefs.js…browser.search.defaultenginename: “Fast Browser Search” FF - prefs.js…browser.search.defaultthis.engineName: “Fast Browser Search” FF - prefs.js…browser.search.defaulturl: “http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=” FF - prefs.js…browser.search.order.1: “Fast Browser Search” FF - prefs.js…browser.search.selectedEngine: “Fast Browser Search” FF - prefs.js…keyword.URL: “http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={A6DB3CE2-2CDB-13BC-AA95-B9E51B09F847}&q=” [2009-11-16 22:19:07 | 000,000,000 | —D | M] (Fast Browser Search (My Tattoons)) – C:\Documents and Settings\cymson\Dane aplikacji\Mozilla\Firefox\Profiles\ak9ua796.default\extensions{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} [2009-11-16 22:19:07 | 000,003,700 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\fast.png [2009-11-16 22:19:07 | 000,001,963 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\fast.xml O4 - HKLM…\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe) - C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe) - C:\RECYCLER\S-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe File not found O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe) - C:\RECYCLER\S-1-5-21-2481432192-2489400619-859434994-3368\wnzip32.exe File not found O20 - HKCU Winlogon: Shell - (c:\recycler\s-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe) - c:\recycler\s-1-5-21-5000065982-8272243717-125386552-3882\nissan.exe File not found [2010-03-01 19:38:42 | 000,023,040 | ---- | C] () – C:\lsass.exe [2010-02-28 20:25:28 | 000,791,552 | ---- | C] () – C:\WINDOWS\System32\drivers\xsekzl.sys [2010-02-27 06:41:41 | 000,000,148 | ---- | C] () – C:\WINDOWS\System32\fjhdyfhsn.bat [2010-02-27 06:41:27 | 000,000,004 | ---- | C] () – C:\Documents and Settings\cymson\Dane aplikacji\avdrn.dat :Files C:{6b56be58-bad9-4c6f-86ad-48e4be2392d9} :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Ale nowy log, oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

jessi

cymek_pl · 2 Marzec 2010 14:50

[2010-02-28 20:52:20 | 000,000,038 | ---- | M] () – C:{6b56be58-bad9-4c6f-86ad-48e4be2392d9}

nie znam, nie wiem, co to za plik…

Raport z Avengera

http://www.wklej.org/id/288983/

jessica · 2 Marzec 2010 15:01

W związku z tym dodałam ten obiekt do usuwaniaOTL’em, w moim poprzednim poście (o ile nie zdążyłeś wykonać usuwania, zanim dodałam ten obiekt).

jessi

cymek_pl · 2 Marzec 2010 15:10

raport z usuwania

http://www.wklej.org/id/288997/

nowy log OTL

http://www.wklej.org/id/289001/

Od razu po włączeniu kompa Avast krzyczy o virusach typu zbyt dużo podobnych wiadomości… są to jakby dziwne adresy mailowe… trudno mi to określić… ale natychmiast wyświetla się ok. 10 takich ostrzeżeń…

jessica · 2 Marzec 2010 15:32

Spróbuj to usunąć ręcznie

I po usunięcie zwróć uwagę, czy Avast dalej będzie alarmował?

Jeśli dalej tak będzie, to będziesz miał dwa wyjścia:

poczekać kilka tygodni/miesięcy, aż wykryta i rozpoznana zostanie ta infekcja, której na razie u Ciebie nie da się wykryć
sformatować dysk

Na jakimś innym forum widziałam podobny przypadek, że komputer stał się “zombie” rozsyłającym spam na cały świat, a żadne narzędzia skanujące niczego szkodliwego nie wykryły.

jessi