-
проверьте скрипт пожалста
сделал скрипт, вот хотелось узнать правильно или нет
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Winrb0 4.sys','');
QuarantineFile('WDICA.sys','');
QuarantineFile('WinCtrl32.dll','');
DeleteService('Winrb04');
DeleteService('hcF26');
DeleteService('jaD15');
DeleteService('kmL85');
DeleteService('ofI63');
DeleteService('pkU83');
DeleteService('rbE04');
DeleteService('roG26');
DeleteService('rwA83');
DeleteService('snJ04');
DeleteService('tgA22');
DeleteService('WDICA');
DeleteService('Winbf68');
DeleteService('Windh48');
DeleteService('Winhq48');
DeleteService('Winjo85');
DeleteService('Winpy50');
DeleteService('Winvx04');
DeleteService('Winwj88');
DeleteService('xaD48');
DeleteService('xhK61');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\xhK61.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\xaD48.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\Winwj88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvx04.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpy50.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo85.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhq48.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh48.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf68.sy s');
DeleteFile('WDICA.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tgA22.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\snJ04.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\rwA83.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\roG26.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\rbE04.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\pkU83.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\ofI63.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\kmL85.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\jaD15.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\hcF26.sys' );
DeleteFile('C:\WINDOWS\System32\Drivers\Winrb04.sy s');
DeleteFile('C:\WINDOWS\system32\Drivers\Winrb04.sy s');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось Hanson; 05.08.2008 в 11:10.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Winrb04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xaD48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwj88.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvx04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpy50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhq48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windh48.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\hcF26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\jaD15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kmL85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ofI63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pkU83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rbE04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\roG26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rwA83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\snJ04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tgA22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhq48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpy50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvx04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwj88.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xaD48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xhK61.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winrb04.sys');
BC_ImportAll;
BC_DeleteSvc('tgA22');
BC_DeleteSvc('rbE04');
BC_DeleteSvc('roG26');
BC_DeleteSvc('rwA83');
BC_DeleteSvc('snJ04');
BC_DeleteSvc('pkU83');
BC_DeleteSvc('ofI63');
BC_DeleteSvc('jaD15');
BC_DeleteSvc('kmL85');
BC_DeleteSvc('hcF26');
BC_DeleteSvc('Winbf68');
BC_DeleteSvc('Windh48');
BC_DeleteSvc('Winhq48');
BC_DeleteSvc('Winjo85');
BC_DeleteSvc('Winpy50');
BC_DeleteSvc('Winvx04');
BC_DeleteSvc('Winwj88');
BC_DeleteSvc('xhK61');
BC_DeleteSvc('xaD48');
BC_DeleteSvc('Winrb04');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=24997
Повторите логи.
-
Winrb04.sys (он в памяти и работает) - вот этого скорее всего придется убивать через IceSword.
'WinCtrl32.dll' - после IceSword сразу же фиксить.
Потом скрипт.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
'WinCtrl32.dll' - после IceSword сразу же фиксить.
его сразу убил
Winrb04.sys сомнения вызывал поэтому в карантин его сунул
а остальное верно?
-
-
WDICA.sys - всегда чистый, зараженные не встречались. Удалять его низя!!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
все подчистил
всем спасибо огромное
-