Printable View
Выполнить скрипт в Safe Mode:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\drivers\mszstb.sys','');
QuarantineFile('C:\WINDOWS\system\SMSS.exe','');
DeleteFile('C:\WINDOWS\system\SMSS.exe');
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
карантин загрузить.
Исполнено.
Вот карантин:
Файл сохранён как 070905_053218_bcqr00004_46de85b236c1a.zip
Размер файла 944
MD5 8a68385c7b26fa352dc78714efa3f4b2
Еще один скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fOxkb.sys','');
QuarantineFile('C:\WINDOWS\system32\notaped.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки новый карантин по правилам (с паролем [I]virus[/I]).
Сделано.
Файл сохранён как 070905_074335_virus_46dea47743167.zip
Размер файла 933
MD5 3ba9c75d2f80c41b948dd0ab35f9c76c
Вирус продолжает многократно обнаруживаться при перезагрузках.
Очень надеюсь, что Вы поможете с ним справиться.
СВАН
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportDeletedList;
BC_DeleteSvc('killwin');
BC_DeleteSvc('Medie Sariel Number Service');
BC_DeleteSvc('fOxkb');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: C:\WINDOWS\system32\cscript.dll
[/code]
После фикса перезагрузитесь и сделайте новые логи.
После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается! Лог HijackThis прилагаю.
[QUOTE]После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается![/QUOTE]
Выглядит обнадеживающе! Сделайте логи AVZ.
После того, как я выполнил скрипт 3 в AVZ и перезагрузился, вирус немедленно обнаружился вновь. Более того, он снова вылез в логе HijackThis! И это при том, что в ходе этих проверок у меня был выдернут интернет-кабель!
Пралагаются все 3 обновленных лога.
СВАН
Поднимаю тему выше. При каждой перезагрузке вирус продолжает многократно обнаруживаться.
СВАН
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
DelWinlogonNotifyByFileName('cscript.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите hijackthis.log ...
Всё осталось по-прежнему. Лог hijackthis прилагаю.
СВАН
@CBAH Сделай лог GetSystemInfo. Лежит на сайте Касперского.
Сделал и вложил. Очень надеюсь, что это поможет.
СВАН
mszstb.sys - искать через AVZ.
Лучше в Safe mode.
Вероятно, опечатка? mszstb.sys не обнаруживается ничем. А вот cscript.dll обнаружен в той самой директории, откуда его не может удалить антивирус:
Virus or unwanted program 'BDS/Hupigon.aqy.19 [BDS/Hupigon.aqy.19]'
detected in file 'C:\WINDOWS\system32\cscript.dll
Файл сохранён как 070910_075357_virus_46e53e656baf5.zip
Размер файла 2888
MD5 4b5626eb785b5a093bbe848eb5997355
К сожалению, он есть в логе GetSystemInfo.
Ссылки в Google говорят, что это вирус. Описание, правда, только на китайском.
В защищенном режиме искал ?
Ищи в AVZ поиском по реестру и итоги сохрани сюда.
Да, именно в защищенном.
Скачайте [URL="http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.506.zip"]rku[/URL] и попробуйте удалить им, либо с другого винта/лайф сиди.
Скачал, установил и тупо уставился на. Не подскажете, где-нибудь есть детальная инструкция, как пользоваться RKU?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\bcqr00002.dta - [B]Backdoor.Win32.Hupigon.aqy[/B] (DrWEB: Trojan.DownLoader.32222)[*] c:\\windows\\system32\\cscript.dll - [B]Backdoor.Win32.Hupigon.aqy[/B] (DrWEB: Trojan.DownLoader.32222)[/LIST][/LIST]