Новый Hupigon

[PavelA]

Выполнить скрипт в Safe Mode:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\mszstb.sys','');
 QuarantineFile('C:\WINDOWS\system\SMSS.exe','');
DeleteFile('C:\WINDOWS\system\SMSS.exe');
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

карантин загрузить.

[СВАН]

Исполнено.

Вот карантин:
Файл сохранён как 070905_053218_bcqr00004_46de85b236c1a.zip
Размер файла 944
MD5 8a68385c7b26fa352dc78714efa3f4b2

[Bratez]

Еще один скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\fOxkb.sys','');
 QuarantineFile('C:\WINDOWS\system32\notaped.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки новый карантин по правилам (с паролем virus).

[СВАН]

Сделано.

Файл сохранён как 070905_074335_virus_46dea47743167.zip
Размер файла 933
MD5 3ba9c75d2f80c41b948dd0ab35f9c76c

Вирус продолжает многократно обнаруживаться при перезагрузках.
Очень надеюсь, что Вы поможете с ним справиться.

СВАН

[Bratez]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
BC_ImportDeletedList;
BC_DeleteSvc('killwin');
BC_DeleteSvc('Medie Sariel Number Service');
BC_DeleteSvc('fOxkb');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\cscript.dll

После фикса перезагрузитесь и сделайте новые логи.

[СВАН]

После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается! Лог HijackThis прилагаю.

[Bratez]

После исполнения скрипта подобная строчка в скане HijackThis не обнаруживается!

Выглядит обнадеживающе! Сделайте логи AVZ.

[СВАН]

После того, как я выполнил скрипт 3 в AVZ и перезагрузился, вирус немедленно обнаружился вновь. Более того, он снова вылез в логе HijackThis! И это при том, что в ходе этих проверок у меня был выдернут интернет-кабель!

Пралагаются все 3 обновленных лога.

СВАН

[СВАН]

Поднимаю тему выше. При каждой перезагрузке вирус продолжает многократно обнаруживаться.

СВАН

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cscript.dll');
DelWinlogonNotifyByFileName('cscript.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

повторите hijackthis.log ...

[СВАН]

Всё осталось по-прежнему. Лог hijackthis прилагаю.

СВАН

[PavelA]

@CBAH Сделай лог GetSystemInfo. Лежит на сайте Касперского.

[СВАН]

Сделал и вложил. Очень надеюсь, что это поможет.
СВАН

[PavelA]

mszstb.sys - искать через AVZ.

Лучше в Safe mode.

[СВАН]

Вероятно, опечатка? mszstb.sys не обнаруживается ничем. А вот cscript.dll обнаружен в той самой директории, откуда его не может удалить антивирус:

Virus or unwanted program 'BDS/Hupigon.aqy.19 [BDS/Hupigon.aqy.19]'
detected in file 'C:\WINDOWS\system32\cscript.dll

Файл сохранён как 070910_075357_virus_46e53e656baf5.zip
Размер файла 2888
MD5 4b5626eb785b5a093bbe848eb5997355

[PavelA]

К сожалению, он есть в логе GetSystemInfo.
Ссылки в Google говорят, что это вирус. Описание, правда, только на китайском.
В защищенном режиме искал ?
Ищи в AVZ поиском по реестру и итоги сохрани сюда.

[СВАН]

Да, именно в защищенном.

[Alex_Goodwin]

Скачайте rku и попробуйте удалить им, либо с другого винта/лайф сиди.

[СВАН]

Скачал, установил и тупо уставился на. Не подскажете, где-нибудь есть детальная инструкция, как пользоваться RKU?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\bcqr00002.dta - Backdoor.Win32.Hupigon.aqy (DrWEB: Trojan.DownLoader.32222)
  2. c:\\windows\\system32\\cscript.dll - Backdoor.Win32.Hupigon.aqy (DrWEB: Trojan.DownLoader.32222)