Скачайте IceSword , поищите и скопируйте файлы:
Код:
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\system32\drivers\Winty26.sys
C:\WINDOWS\system32\drivers\Winin40.sys
C:\WINDOWS\system32\drivers\Wingl38.sys
C:\WINDOWS\system32\drivers\Windi40.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winty26.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winou37.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winin40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wingl38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wch27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vbg27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ubg38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Uae37.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Sye62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Sxc72.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pvb05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Oty15.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nty40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Mrw40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Lqv40.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Lqv05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Kpt62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Kpt48.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jot27.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ins73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Inr04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Hns62.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Glq16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Djo73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Din38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Chm73.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Chm40.sys','');
DeleteService('Chm40');
DeleteService('Chm73');
DeleteService('Din38');
DeleteService('Djo73');
DeleteService('Glq16');
DeleteService('Hns62');
DeleteService('Inr04');
DeleteService('Ins73');
DeleteService('Jot27');
DeleteService('Kpt48');
DeleteService('Kpt62');
DeleteService('Lqv05');
DeleteService('Lqv40');
DeleteService('Mrw40');
DeleteService('Nty40');
DeleteService('Oty15');
DeleteService('Pvb05');
DeleteService('Sxc72');
DeleteService('Sye62');
DeleteService('tcpsr');
DeleteService('Uae37');
DeleteService('Ubg38');
DeleteService('Vbg27');
DeleteService('Wch27');
DeleteService('Windi40');
DeleteService('Wingl38');
DeleteService('Winin40');
DeleteService('Winou37');
DeleteService('Winty26');
DeleteService('Yfii29');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\Юрий4.245-1-KMOS\Local Settings\Temporary Internet Files\Content.IE5\XHHRFUZ5\load[1].exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Windi40.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Wingl38.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winin40.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Winty26.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Winty26.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Winin40.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Wingl38.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Windi40.sys');
DeleteFile('C:\Documents and Settings\Юрий4.245-1-KMOS\Local Settings\Temporary Internet Files\Content.IE5\XHHRFUZ5\load[1].exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\blphc73sj0e9fl.scr');
DeleteFile('C:\WINDOWS\System32\drivers\Chm40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Chm73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Din38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Djo73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Glq16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Hns62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Inr04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ins73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Jot27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Kpt48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Kpt62.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Lqv05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Lqv40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Mrw40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nty40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Oty15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Pvb05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Sxc72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Sye62.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Uae37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ubg38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Vbg27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wch27.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Windi40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wingl38.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winin40.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winou37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winty26.sys');
DeleteFile('Yfii29.sys');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('Chm40');
BC_DeleteSvc('Chm73');
BC_DeleteSvc('Din38');
BC_DeleteSvc('Djo73');
BC_DeleteSvc('Glq16');
BC_DeleteSvc('Hns62');
BC_DeleteSvc('Inr04');
BC_DeleteSvc('Ins73');
BC_DeleteSvc('Jot27');
BC_DeleteSvc('Kpt48');
BC_DeleteSvc('Kpt62');
BC_DeleteSvc('Lqv05');
BC_DeleteSvc('Lqv40');
BC_DeleteSvc('Mrw40');
BC_DeleteSvc('Nty40');
BC_DeleteSvc('Oty15');
BC_DeleteSvc('Pvb05');
BC_DeleteSvc('Sxc72');
BC_DeleteSvc('Sye62');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Uae37');
BC_DeleteSvc('Ubg38');
BC_DeleteSvc('Vbg27');
BC_DeleteSvc('Wch27');
BC_DeleteSvc('Windi40');
BC_DeleteSvc('Wingl38');
BC_DeleteSvc('Winin40');
BC_DeleteSvc('Winou37');
BC_DeleteSvc('Winty26');
BC_DeleteSvc('Yfii29');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Выполните скрипт 2
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.