Вирус Graybird

Недавно проник на комп очередной китайский, очевидно, вирус... Название ему - Graybird, во всяком случае так говорил drweb. Очень ненравится файл dzserver.exe. Попытки удалить ничем не оканчиваюстя, он восстанавливается снова. Причем идут соединения су даленным компом через winlogon.exe и через svhost.exe, outpost говорит, что не удается определить родительский процесс. Пожалуйста, посмотрите логи!

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Remote\Slsvc.exe','');
QuarantineFile('C:\WINDOWS\DzServer.exe','');
QuarantineFile('C:\WINDOWS\hf34h.exe','');
DeleteFile('C:\WINDOWS\hf34h.exe');
DeleteFile('C:\WINDOWS\DzServer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=41186[/url]).

Карантин выслал, только почему-то один всего файл добавился в карантин, хотя из скрипта следует, что их должно быть три. Кстати dzserver.exe так и остался...

Логи повторите...

[quote=Гриша;368064]Логи повторите...[/quote]
Секундочку!
Slsvc.exe - [B]Backdoor.Win32.Hupigon.gfwf[/B]
Он еще не удален!

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Remote\Slsvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Mvsmon');
BC_DeleteSvc('HgzVipDingZhi_Bester');
BC_DeleteSvc('dsfg45fj');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

После этого - новые логи.

Прилагаю новые логи!

В AVZ откройте Менеджер Active Setup и удалите строку с упоминанием [B]C:\WINDOWS\DzServer.exe[/B] (самого файла уже нет).

Выполните скрипт:
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\TlmstlD.dll');
DeleteFile('C:\WINDOWS\system32\TrmytvD.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.

Повторите лог syscure для контроля.

Прилагаю syscure. Чувствую, скажете что логи чистые... Может оно и так, но прога TCPview показывает установленное соединение через svhost.exe по ip 218.77.49.92 (китай) и трафик утекает по-немногу. Что делать или тока снос винды поможет?

Не тот файл прикрепили.

Извиняюсь ;-)

Во как! Оказывается, PCIDump.SYS - [B]Rootkit.Win32.Agent.hqy[/B]
А я почему-то сразу не уделил ему внимания.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
BC_DeleteSvc('PCIDump');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог syscheck (только п.2 раздела Диагностика).

Новый лог!

Теперь все чисто. Проблема решена?

Нет, к сожалению, трафф все также бежит, ip удаленного компа уже другой: 222.244.24.83(китай) провайдер тот же! Соединение через svchost.exe.

Сделайте полную проверку AVPTool...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\remote\slsvc.exe - [B]Backdoor.Win32.Hupigon.gfwf[/B]( BitDefender: Trojan.Generic.1545957 )[/LIST][/LIST]