|
|
|
|
#1 |
|
Новичок
Регистрация: 28.05.2010
Сообщений: 1
Репутация: 0
|
|
|
|
|
|
#2 |
|
Знаток
|
termit, здравствуйте.
Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\FljdzRh.exe','');
QuarantineFile('C:\WINDOWS\system32\cryptex.dll','');
QuarantineFile('C:\WINDOWS\Temp\P.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv801239014101.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.dll','');
QuarantineFile('c:\windows\system32\winctrl32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('C:\WINDOWS\system32\brastk.exe','');
DeleteFile('c:\windows\system32\winctrl32.dll');
DeleteFile('C:\WINDOWS\system32\servises.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('c:\documents and settings\admin\application data\7f0ce079eaf414a7b3887e3ff2242ddc\gotnewupdate005000.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('\\?\globalroot\systemroot\system32\FljdzRh.exe');
DeleteFile('C:\WINDOWS\system32\cryptex.dll');
DeleteFile('C:\WINDOWS\Temp\P.exe');
DeleteFile('C:\WINDOWS\Temp\wpv801239014101.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('\\');
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
DeleteFile('C:\WINDOWS\system32\brastk.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','brastk');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','brastk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','servises');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gotnewupdate005000.exe');
DelCLSID('FC81D79B-47F6-49A9-A83F-0E9D5456BAB1');
BC_DeleteSvc('ClipSrvDhcp');
BC_DeleteSvc('ERSvcEventSystem');
BC_DeleteSvc('NetlogonBITS');
BC_DeleteSvc('RpcLocatorose');
BC_DeleteSvc('SharedAccessusnjsvcCOMSysApp');
BC_DeleteSvc('usnjsvcCOMSysApp');
BC_DeleteSvc('VSSwuauserv');
BC_DeleteSvc('Wmixmlprov');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
|
|
|
|
|
#3 |
|
Знаток
|
После перзагрузки компьютера.
Выполнить еще такой скрипт в AVZ. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. ---- Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis и файл fystemRoot.log из директории AVZ. |
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Стоит Mse+Comodo хочу добавить AntiMalware. | Kofemen | Безопасность | 0 | 01.12.2010 03:02 |
| Как удалить Antiwalware doctor? | Даурия | Безопасность | 11 | 01.07.2010 16:01 |
| Помогите удалить Antimalware Doctor!!! | Greeneer | Безопасность | 11 | 11.06.2010 13:42 |
| Как удалить Antimalware Doctor? | Alone | Безопасность | 17 | 02.06.2010 11:17 |
| Как удалить Malware Doctor | valerykr | Безопасность | 885 | 01.06.2010 23:40 |
| И снова - как удалить Antimalware Doctor? | Мышь-норушь | Безопасность | 10 | 01.06.2010 14:11 |
| Как победить псевдоантивирус Antimalware doctor | NaTaN | Безопасность | 3 | 26.05.2010 18:22 |
| Удаление Antimalware Doctor | Mikle | Безопасность | 11 | 23.05.2010 21:01 |
| Помогите укакошить Antimalware Doctor | Ambarnikov | Безопасность | 6 | 21.05.2010 01:24 |
| Никак не удаляется Antimalware Doctor | goodmike | Безопасность | 4 | 17.05.2010 13:51 |
| Как удалить Antimalware Doctor | DmitryD | Безопасность | 4 | 16.05.2010 14:43 |
| Помогите удалить вирус Antimalware Doctor | kuvani | Безопасность | 6 | 14.05.2010 11:17 |