gjf
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 - Отключите Антивирус и Файервол. - Выполните скрипт: Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} BC_ServiceKill('xmzbo'); BC_ServiceKill('whgzeevw'); BC_ServiceKill('wdrcg'); BC_ServiceKill('wbjgc'); BC_ServiceKill('vqzxkjzv'); BC_ServiceKill('twdsjmp'); BC_ServiceKill('saqru'); BC_ServiceKill('rnckap'); BC_ServiceKill('oucwhv'); BC_ServiceKill('oojmqgj'); BC_ServiceKill('oayyuzpts'); BC_ServiceKill('nuqkztuen'); BC_ServiceKill('ntpxxi'); BC_ServiceKill('nrocksda'); BC_ServiceKill('ncqorvtcq'); BC_ServiceKill('mmabnjhjb'); BC_ServiceKill('mczkwk'); BC_ServiceKill('lkhfnnum'); BC_ServiceKill('ktvgqq'); BC_ServiceKill('koinfcar'); BC_ServiceKill('kmjrwr'); BC_ServiceKill('jwxqjopo'); BC_ServiceKill('hylqkd'); BC_ServiceKill('hvatgyrc'); BC_ServiceKill('hhfnac'); BC_ServiceKill('fxxcthad'); BC_ServiceKill('fbpope'); BC_ServiceKill('fbdgp'); BC_ServiceKill('dymzv'); BC_ServiceKill('dsktfe'); BC_ServiceKill('djojw'); BC_ServiceKill('chfnpsd'); QuarantineFile('C:\WINDOWS\system32\ctlfree.exe',''); QuarantineFile('C:\WINDOWS\system32\ctlqua.exe',''); QuarantineFile('C:\WINDOWS\system32\06.tmp',''); QuarantineFile('C:\WINDOWS\system32\03.tmp',''); QuarantineFile('dymzv.sys',''); QuarantineFile('C:\WINDOWS\system32\02.tmp',''); QuarantineFile('fbpope.sys',''); QuarantineFile('hhfnac.sys',''); QuarantineFile('hvatgyrc.sys',''); QuarantineFile('koinfcar.sys',''); QuarantineFile('lbrtfdc.sys',''); QuarantineFile('mmabnjhjb.sys',''); QuarantineFile('nuqkztuen.sys',''); QuarantineFile('oucwhv.sys',''); QuarantineFile('vqzxkjzv.sys',''); QuarantineFile('djojw.sys',''); DeleteFile('C:\WINDOWS\system32\03.tmp'); DeleteFile('djojw.sys'); DeleteFile('dymzv.sys'); DeleteFile('C:\WINDOWS\system32\02.tmp'); DeleteFile('fbpope.sys'); DeleteFile('hhfnac.sys'); DeleteFile('hvatgyrc.sys'); DeleteFile('koinfcar.sys'); DeleteFile('mmabnjhjb.sys'); DeleteFile('C:\WINDOWS\system32\06.tmp'); DeleteFile('nuqkztuen.sys'); DeleteFile('oucwhv.sys'); DeleteFile('vqzxkjzv.sys'); DeleteFile('C:\WINDOWS\system32\ctlqua.exe'); DeleteFile('C:\WINDOWS\system32\ctlfree.exe'); BC_ImportAll; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end. | Система перезагрузится. После перезагрузки: - Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Сделайте повторные логи - Включите Антивирус и Файрвол - Подключите ПК к интернету/локальной сети - Выполните скрипт: Код: var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. | По окончанию Вам откроет папку с архивом. Это - карантин. - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. - Прикрепите новые логи, а также файл boot_clr.log из папки AVZ к новому сообщению в этой ветке.
---------- Тут могла бы быть Ваша реклама... или эпитафия |
| Всего записей: 11441 | Зарегистр. 14-03-2007 | Отправлено: 18:24 23-02-2011 | Исправлено: gjf, 18:24 23-02-2011 |
|