 |
|
|
22.12.2010, 00:26
|
#16 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;
begin
BC_ServiceKill('gsemwmjjg');
BC_ServiceKill('jiybvv');
BC_ServiceKill('psnjw');
RebootWindows(false);
end.
|
|
| Ads | |
|
23.12.2010, 02:50
|
#17 (ссылка) |
|
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, Вот:
virusinfo_syscheck.zip |
|
|
|
23.12.2010, 05:18
|
#18 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\home2\locals~1\temp\6554.exe');
TerminateProcessByName('c:\docume~1\home2\locals~1\temp\097383.exe');
DeleteFile('c:\docume~1\home2\locals~1\temp\097383.exe');
DeleteFile('c:\docume~1\home2\locals~1\temp\6554.exe');
DeleteFile('C:\DOCUME~1\Home2\LOCALS~1\Temp\097383.exe');
DeleteFile('C:\DOCUME~1\Home2\LOCALS~1\Temp\6554.exe');
DeleteFile('C:\Documents and Settings\Home\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
23.12.2010, 20:02
|
#20 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
wreder, Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Есть подозрение на кидо. |
|
|
|
26.12.2010, 00:07
|
#24 (ссылка) |
|
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\gwdrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\mpp2g.exe');
DeleteFile('c:\windows\gwdrive32.exe');
DeleteFile('C:\WINDOWS\system32\63.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tjpp2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
BC_ImportALL;
BC_ServiceKill('smywld');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
|
|
|
| Ads | |
|
26.12.2010, 03:15
|
#25 (ссылка) |
|
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, Есть:
virusinfo_syscheck.zip |
|
|
|
26.12.2010, 04:43
|
#26 (ссылка) | |
|
Мастер
|
wreder, вроде чисто. Пришлите такой лог:
Цитата:
|
|
|
|
|
26.12.2010, 22:48
|
#28 (ссылка) | |
|
Мастер
|
Мдя... Удалите в МВАМ:
Цитата:
|
|
|
|
|
27.12.2010, 00:55
|
#29 (ссылка) |
|
Новичок
Регистрация: 19.12.2010
Сообщений: 55
Репутация: 0
|
Iljeben, Удалил вот лог avz:
virusinfo_syscheck.zip |
|
|
|
27.12.2010, 01:03
|
#30 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
wreder, по логам чисто . Если ничего не беспокоит, то
Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендую вам придерживаться этих правил: 1.Всегда работайте только под обычным пользователем! 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте обновления и патчи Windows. 4.Ежедневно обновляйте антивирусные базы. 5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол). |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Уверен. вирусы! но нужна вша помощь!!!! | Пeneral Volf | Безопасность | 4 | 09.01.2011 16:00 |
| Подозрение на вирусы. | Sinlol | Безопасность | 10 | 04.01.2011 22:42 |
| Подозрение на вирусы | Istarion | Безопасность | 6 | 11.11.2010 21:33 |
| Есть подозрение на вирусы | nekto202 | Безопасность | 5 | 09.11.2010 01:24 |
| Подозрение на вирусы. | SacredHash | Безопасность | 0 | 02.09.2010 19:56 |
| Подозрение на вирусы | Слепой Пью | Безопасность | 2 | 07.06.2010 16:47 |
| Подозрение на вирусы | Настя5 | Безопасность | 1 | 31.03.2010 21:47 |
| Решено: Подозрение на вирусы | Ferera | Безопасность | 39 | 22.03.2010 07:38 |
| Подозрение на вирусы | Vo Vo | Безопасность | 4 | 13.03.2010 10:35 |
| Есть подозрение на вирусы | серый кот | Безопасность | 9 | 25.01.2010 18:43 |
| Подозрение на вирусы | isx | Безопасность | 12 | 17.01.2010 20:22 |
