Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
Printable View
Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
@СВАН
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.25[/QUOTE]
Старая версия АВЗ.
Читаем Правила
[CODE]Даже если у Вас есть AVZ скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО. [/CODE]
[QUOTE]база от 17.07.2007 16:36[/QUOTE]
Старые базы.
Сканирование ДрВеб производили? Установите в Авире режим "Находки переместить в карантин", обновите базы и проверьте систему в безопасном режиме.
Не забыть отключить антивирус, когда будете делать логи с новой версии AVZ.
Упс... Это я из отпуска вышел, и сразу поймал. А обновить ресурсы не догадался. Виноват, переделаю.
СВАН
Теперь всё сделано, как положено. Ресурсы обновлены, комп проверен на вирусы Др.Вебом в безопасном режиме ранее сегодня.
Обновленные логи прилагаю.
Очень надеюсь на помощь.
СВАН
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cscript.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Профиксить в HijackThis:
[CODE]O23 - Service: Messenger Accelerator (Accelerator Tools) - Unknown owner - C:\WINDOWS\system32\mdn.exe (file missing)[/CODE]
Нет, не помогло. Несмотря на двухкратную попытку удаления, в логе сохраняется как этот файл, так и cscript.dll, - который многократно обнаруживается антивирусом как Hupigon.agy.19 при каждой перезагрузке.
Прилагаю новый лог ХайДжека.
Что можно сделать дальше?
СВАН
Я не просил удалять (заниматься самолечением). Я просил:
[QUOTE]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
[/QUOTE]
Виноват, - из головы выпало истиное значение термина "карантин"
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Еще разок этот же скрипт только в Safe Mode сделай. Только антивирус отключи.
Если cscript.dll попадет в карантин, то пришли.
То, что попало в карантин - чистые файлы.
1. В догонку выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('Accelerator Tools');
BC_Activate;
RebootWindows(true);
end.[/code]
Не помогло. Вирус продолжает многократно обнаруживаться и не может быть удален антивирусной программой.
Я не удалял вирус. Я хочу получить его в карантин.
Карантин загружен?
Это подойдёт? Или сделать заново?
СВАН
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Просьба была повторить скрипт в Safe Mode. Если в карантин попадет cscript.dll, то загрузить карантин.
Ежели не достанется, то просто удалим.
Да, кажется попался!
Вот данные загрузки:
Файл сохранён как 070905_012413_bcqr00001_46de4b8da6522.zip
Размер файла 12074
MD5 f6650f06e8f84cc60149a5f323e5b480
В Safe Mode выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Backdoor.Graybird - по Симантеку называется этот зверь. До других донести не смог.
После этого сделать новые логи.
Всё сделал, но после второй перезагрузки всё появилось снова.
Вот логи.
СВАН
Сделайте дополнительный лог как сказано тут [url]http://virusinfo.info/showthread.php?t=10387[/url]
только из обычного режима.
Что, кроме лога со "всех служб и драйверов" (см.) мне нужно прислать? Где сохраняется лог со стандартного скрипта 1?
Выполнить скрипт в Safe Mode:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\drivers\mszstb.sys','');
QuarantineFile('C:\WINDOWS\system\SMSS.exe','');
DeleteFile('C:\WINDOWS\system\SMSS.exe');
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
карантин загрузить.
Исполнено.
Вот карантин:
Файл сохранён как 070905_053218_bcqr00004_46de85b236c1a.zip
Размер файла 944
MD5 8a68385c7b26fa352dc78714efa3f4b2
Еще один скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fOxkb.sys','');
QuarantineFile('C:\WINDOWS\system32\notaped.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки новый карантин по правилам (с паролем [I]virus[/I]).
Сделано.
Файл сохранён как 070905_074335_virus_46dea47743167.zip
Размер файла 933
MD5 3ba9c75d2f80c41b948dd0ab35f9c76c
Вирус продолжает многократно обнаруживаться при перезагрузках.
Очень надеюсь, что Вы поможете с ним справиться.
СВАН
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportDeletedList;
BC_DeleteSvc('killwin');
BC_DeleteSvc('Medie Sariel Number Service');
BC_DeleteSvc('fOxkb');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: C:\WINDOWS\system32\cscript.dll
[/code]
После фикса перезагрузитесь и сделайте новые логи.
После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается! Лог HijackThis прилагаю.
[QUOTE]После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается![/QUOTE]
Выглядит обнадеживающе! Сделайте логи AVZ.
После того, как я выполнил скрипт 3 в AVZ и перезагрузился, вирус немедленно обнаружился вновь. Более того, он снова вылез в логе HijackThis! И это при том, что в ходе этих проверок у меня был выдернут интернет-кабель!
Пралагаются все 3 обновленных лога.
СВАН
Поднимаю тему выше. При каждой перезагрузке вирус продолжает многократно обнаруживаться.
СВАН
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
DelWinlogonNotifyByFileName('cscript.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите hijackthis.log ...
Всё осталось по-прежнему. Лог hijackthis прилагаю.
СВАН
@CBAH Сделай лог GetSystemInfo. Лежит на сайте Касперского.
Сделал и вложил. Очень надеюсь, что это поможет.
СВАН
mszstb.sys - искать через AVZ.
Лучше в Safe mode.
Вероятно, опечатка? mszstb.sys не обнаруживается ничем. А вот cscript.dll обнаружен в той самой директории, откуда его не может удалить антивирус:
Virus or unwanted program 'BDS/Hupigon.aqy.19 [BDS/Hupigon.aqy.19]'
detected in file 'C:\WINDOWS\system32\cscript.dll
Файл сохранён как 070910_075357_virus_46e53e656baf5.zip
Размер файла 2888
MD5 4b5626eb785b5a093bbe848eb5997355
К сожалению, он есть в логе GetSystemInfo.
Ссылки в Google говорят, что это вирус. Описание, правда, только на китайском.
В защищенном режиме искал ?
Ищи в AVZ поиском по реестру и итоги сохрани сюда.
Да, именно в защищенном.
Скачайте [URL="http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.506.zip"]rku[/URL] и попробуйте удалить им, либо с другого винта/лайф сиди.
Скачал, установил и тупо уставился на. Не подскажете, где-нибудь есть детальная инструкция, как пользоваться RKU?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\bcqr00002.dta - [B]Backdoor.Win32.Hupigon.aqy[/B] (DrWEB: Trojan.DownLoader.32222)[*] c:\\windows\\system32\\cscript.dll - [B]Backdoor.Win32.Hupigon.aqy[/B] (DrWEB: Trojan.DownLoader.32222)[/LIST][/LIST]