Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
Господа, у меня появился новый вариант "неудаляемого" вируса Hupigon - в этот раз Hupigon.agy.19.
Посмотрите, пожалуйста, логи.
Заранее спасибо,
СВАН
Последний раз редактировалось СВАН; 10.09.2007 в 14:07.
@СВАН
Старая версия АВЗ.Протокол антивирусной утилиты AVZ версии 4.25
Читаем Правила
Код:Даже если у Вас есть AVZ скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО.Старые базы.база от 17.07.2007 16:36
Сканирование ДрВеб производили? Установите в Авире режим "Находки переместить в карантин", обновите базы и проверьте систему в безопасном режиме.
Последний раз редактировалось Rene-gad; 31.08.2007 в 13:10. Причина: Avira - примочки :)
Не забыть отключить антивирус, когда будете делать логи с новой версии AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Упс... Это я из отпуска вышел, и сразу поймал. А обновить ресурсы не догадался. Виноват, переделаю.
СВАН
Теперь всё сделано, как положено. Ресурсы обновлены, комп проверен на вирусы Др.Вебом в безопасном режиме ранее сегодня.
Обновленные логи прилагаю.
Очень надеюсь на помощь.
СВАН
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cscript.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Профиксить в HijackThis:
Код:O23 - Service: Messenger Accelerator (Accelerator Tools) - Unknown owner - C:\WINDOWS\system32\mdn.exe (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет, не помогло. Несмотря на двухкратную попытку удаления, в логе сохраняется как этот файл, так и cscript.dll, - который многократно обнаруживается антивирусом как Hupigon.agy.19 при каждой перезагрузке.
Прилагаю новый лог ХайДжека.
Что можно сделать дальше?
СВАН
Я не просил удалять (заниматься самолечением). Я просил:
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить
После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Виноват, - из головы выпало истиное значение термина "карантин"
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Еще разок этот же скрипт только в Safe Mode сделай. Только антивирус отключи.
Если cscript.dll попадет в карантин, то пришли.
То, что попало в карантин - чистые файлы.
Последний раз редактировалось PavelA; 04.09.2007 в 17:46.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. В догонку выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_DeleteSvc('Accelerator Tools'); BC_Activate; RebootWindows(true); end.
Не помогло. Вирус продолжает многократно обнаруживаться и не может быть удален антивирусной программой.
Я не удалял вирус. Я хочу получить его в карантин.
Карантин загружен?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Это подойдёт? Или сделать заново?
СВАН
Файл сохранён как 070904_073000_bcqr00002_46dd4fc8b3d4b.zip
Размер файла 6666
MD5 f2736d05fefbc70cbf0a95af0c6d8877
Просьба была повторить скрипт в Safe Mode. Если в карантин попадет cscript.dll, то загрузить карантин.
Ежели не достанется, то просто удалим.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, кажется попался!
Вот данные загрузки:
Файл сохранён как 070905_012413_bcqr00001_46de4b8da6522.zip
Размер файла 12074
MD5 f6650f06e8f84cc60149a5f323e5b480
В Safe Mode выполнить скрипт:
Backdoor.Graybird - по Симантеку называется этот зверь. До других донести не смог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\cscript.dll'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После этого сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Всё сделал, но после второй перезагрузки всё появилось снова.
Вот логи.
СВАН
Сделайте дополнительный лог как сказано тут http://virusinfo.info/showthread.php?t=10387
только из обычного режима.
Что, кроме лога со "всех служб и драйверов" (см.) мне нужно прислать? Где сохраняется лог со стандартного скрипта 1?
Уважаемый(ая) СВАН, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.