каспер постоянно пишет что заражён svchost.exe ещё появляются в папке system32 цифирные экзишники типа 574.exe 84.exe и т.д.
каспер постоянно пишет что заражён svchost.exe ещё появляются в папке system32 цифирные экзишники типа 574.exe 84.exe и т.д.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS.0\system32\sol.exe',''); QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe',''); QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0456963884-1518197921-795507898-6591\syscr.exe',''); QuarantineFile('C:\WINDOWS.0\system32\drivers\JulaWdm.sys',''); QuarantineFile('C:\WINDOWS.0\system32\drivers\Jula.sys',''); QuarantineFile('c:\documents and settings\Администратор.microsof-85412f\Рабочий стол\juli@-v1_23\julapan.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0456963884-1518197921-795507898-6591\syscr.exe'); DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe'); DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
файл был закачан: 100716_130201_quarantine_4c402009d6d0c.zip
- удалите в MBAM
- Выполните скрипт в AVZКод:Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe',''); QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe',''); QuarantineFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe',''); QuarantineFile('C:\WINDOWS.0\system32\57.exe',''); DeleteFile('C:\WINDOWS.0\system32\57.exe'); DeleteFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe'); DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe'); QuarantineFile('C:\WINDOWS.0\system32\drivers\33550811.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe'); QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe',''); QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe',''); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe''); DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5'', '*.*', true); DeleteFile('C:\WINDOWS\system32\dllcache\iissync.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
скрипт не работает
ошибка ")" expected позиция 18:13
Поправленный скрипт
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe',''); QuarantineFile('C:\WINDOWS.0\system32\msvmiode.exe',''); QuarantineFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe',''); QuarantineFile('C:\WINDOWS.0\system32\57.exe',''); DeleteFile('C:\WINDOWS.0\system32\57.exe'); DeleteFile('C:\DOCUME~1\7F36~1.MIC\LOCALS~1\Temp\166.exe'); DeleteFile('C:\WINDOWS.0\system32\msvmiode.exe'); QuarantineFile('C:\WINDOWS.0\system32\drivers\33550811.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-1312719397-3151737224-318131669-4036\syscr.exe'); QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe',''); QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe',''); QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe',''); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\2F6QGJY2\kiss[1].exe'); DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\Z9RC976U\local[1].exe'); DeleteFileMask('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFile('C:\WINDOWS\system32\dllcache\iissync.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe',''); DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-85412F\Application Data\ltzqai.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт я уже сам догадался как исправить, спасибо
и ещё вопрос, я подключал к заражённым компьютерам съёмные USB винчестеры, как оттуда удалить эти вирусы?
Подключите и проверьте антивирусом. Обычно эта зараза прописывается только на системном диске
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\windows.0\system32\msvmiode.exe - Trojan.Win32.Buzus.etul ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.FR, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Pendal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.