28.05.2010, 03:30 | #2 (ссылка) |
Знаток
|
termit, здравствуйте.
Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe'); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); QuarantineFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\FljdzRh.exe',''); QuarantineFile('C:\WINDOWS\system32\cryptex.dll',''); QuarantineFile('C:\WINDOWS\Temp\P.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv801239014101.exe',''); QuarantineFile('C:\WINDOWS\system32\servises.dll',''); QuarantineFile('c:\windows\system32\winctrl32.dll',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('C:\WINDOWS\system32\brastk.exe',''); DeleteFile('c:\windows\system32\winctrl32.dll'); DeleteFile('C:\WINDOWS\system32\servises.dll'); DeleteFile('C:\WINDOWS\system32\servises.exe'); DeleteFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('\\?\globalroot\systemroot\system32\FljdzRh.exe'); DeleteFile('C:\WINDOWS\system32\cryptex.dll'); DeleteFile('C:\WINDOWS\Temp\P.exe'); DeleteFile('C:\WINDOWS\Temp\wpv801239014101.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('\\'); DeleteFile('C:\WINDOWS\system32\linkdel.cmd'); DeleteFile('C:\WINDOWS\system32\brastk.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','brastk'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','brastk'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gotnewupdate005000.exe'); DelCLSID('FC81D79B-47F6-49A9-A83F-0E9D5456BAB1'); BC_DeleteSvc('ClipSrvDhcp'); BC_DeleteSvc('ERSvcEventSystem'); BC_DeleteSvc('NetlogonBITS'); BC_DeleteSvc('RpcLocatorose'); BC_DeleteSvc('SharedAccessusnjsvcCOMSysApp'); BC_DeleteSvc('usnjsvcCOMSysApp'); BC_DeleteSvc('VSSwuauserv'); BC_DeleteSvc('Wmixmlprov'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; ClearHostsFile; RebootWindows(true); end. |
28.05.2010, 03:31 | #3 (ссылка) |
Знаток
|
После перзагрузки компьютера.
Выполнить еще такой скрипт в AVZ. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. ---- Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis и файл fystemRoot.log из директории AVZ. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Стоит Mse+Comodo хочу добавить AntiMalware. | Kofemen | Безопасность | 0 | 01.12.2010 03:02 |
Как удалить Antiwalware doctor? | Даурия | Безопасность | 11 | 01.07.2010 16:01 |
Помогите удалить Antimalware Doctor!!! | Greeneer | Безопасность | 11 | 11.06.2010 13:42 |
Как удалить Antimalware Doctor? | Alone | Безопасность | 17 | 02.06.2010 11:17 |
Как удалить Malware Doctor | valerykr | Безопасность | 885 | 01.06.2010 23:40 |
И снова - как удалить Antimalware Doctor? | Мышь-норушь | Безопасность | 10 | 01.06.2010 14:11 |
Как победить псевдоантивирус Antimalware doctor | NaTaN | Безопасность | 3 | 26.05.2010 18:22 |
Удаление Antimalware Doctor | Mikle | Безопасность | 11 | 23.05.2010 21:01 |
Помогите укакошить Antimalware Doctor | Ambarnikov | Безопасность | 6 | 21.05.2010 01:24 |
Никак не удаляется Antimalware Doctor | goodmike | Безопасность | 4 | 17.05.2010 13:51 |
Как удалить Antimalware Doctor | DmitryD | Безопасность | 4 | 16.05.2010 14:43 |
Помогите удалить вирус Antimalware Doctor | kuvani | Безопасность | 6 | 14.05.2010 11:17 |