Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
Printable View
Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
@СВАН
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.25[/QUOTE]
Старая версия АВЗ.
Читаем Правила
[CODE]Даже если у Вас есть AVZ скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО. [/CODE]
[QUOTE]база от 17.07.2007 16:36[/QUOTE]
Старые базы.
Сканирование ДрВеб производили? Установите в Авире режим "Находки переместить в карантин", обновите базы и проверьте систему в безопасном режиме.
Не забыть отключить антивирус, когда будете делать логи с новой версии AVZ.
Упс... Это я из отпуска вышел, и сразу поймал. А обновить ресурсы не догадался. Виноват, переделаю.
СВАН
Теперь всё сделано, как положено. Ресурсы обновлены, комп проверен на вирусы Др.Вебом в безопасном режиме ранее сегодня.
Обновленные логи прилагаю.
Очень надеюсь на помощь.
СВАН
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cscript.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Профиксить в HijackThis:
[CODE]O23 - Service: Messenger Accelerator (Accelerator Tools) - Unknown owner - C:\WINDOWS\system32\mdn.exe (file missing)[/CODE]
Нет, не помогло. Несмотря на двухкратную попытку удаления, в логе сохраняется как этот файл, так и cscript.dll, - который многократно обнаруживается антивирусом как Hupigon.agy.19 при каждой перезагрузке.
Прилагаю новый лог ХайДжека.
Что можно сделать дальше?
СВАН
Я не просил удалять (заниматься самолечением). Я просил:
[QUOTE]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
[/QUOTE]
Виноват, - из головы выпало истиное значение термина "карантин"
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Еще разок этот же скрипт только в Safe Mode сделай. Только антивирус отключи.
Если cscript.dll попадет в карантин, то пришли.
То, что попало в карантин - чистые файлы.
1. В догонку выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('Accelerator Tools');
BC_Activate;
RebootWindows(true);
end.[/code]
Не помогло. Вирус продолжает многократно обнаруживаться и не может быть удален антивирусной программой.
Я не удалял вирус. Я хочу получить его в карантин.
Карантин загружен?
Это подойдёт? Или сделать заново?
СВАН
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Просьба была повторить скрипт в Safe Mode. Если в карантин попадет cscript.dll, то загрузить карантин.
Ежели не достанется, то просто удалим.
Да, кажется попался!
Вот данные загрузки:
Файл сохранён как 070905_012413_bcqr00001_46de4b8da6522.zip
Размер файла 12074
MD5 f6650f06e8f84cc60149a5f323e5b480
В Safe Mode выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Backdoor.Graybird - по Симантеку называется этот зверь. До других донести не смог.
После этого сделать новые логи.
Всё сделал, но после второй перезагрузки всё появилось снова.
Вот логи.
СВАН
Сделайте дополнительный лог как сказано тут [url]http://virusinfo.info/showthread.php?t=10387[/url]
только из обычного режима.
Что, кроме лога со "всех служб и драйверов" (см.) мне нужно прислать? Где сохраняется лог со стандартного скрипта 1?