- Сохраните текст ниже как 1.bat в ту же папку, где находится i6z46sly.exe (GMER) и запустите этот батник(1.bat):
Код:
i6z46sly.exe -del service mxgozmg
i6z46sly.exe -del file "F:\WINDOWS\system32\uvyxtluk.dll"
i6z46sly.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mxgozmg"
i6z46sly.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mxgozmg "
i6z46sly.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('F:\Documents and Settings\ae_walle\Local Settings\Temp\~TM94.tmp','');
QuarantineFile('F:\Documents and Settings\ae_walle\Local Settings\Temporary Internet Files\Content.IE5\IK6VF8HR\c93[1].exe','');
QuarantineFile('F:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\I1VLTTCF\bpxos[1].bmp','');
QuarantineFile('F:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\I1VLTTCF\wfqidi[1].bmp','');
QuarantineFile('F:\RECYCLER\S-1-5-21-0758566517-3092097049-188403564-7577\syscr.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-2486824157-7947763054-685694022-7003\syscr.exe ','');
QuarantineFile('F:\RECYCLER\S-1-5-21-5090737932-9707271897-623094826-7173\syscr.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-6213057492-1127858644-700969346-7447\syscr.exe','');
DeleteFile('F:\Documents and Settings\ae_walle\Local Settings\Temporary Internet Files\Content.IE5\IK6VF8HR\c93[1].exe');
DeleteFile('F:\Documents and Settings\ae_walle\Local Settings\Temp\~TM94.tmp');
DeleteFile('F:\RECYCLER\S-1-5-21-2486824157-7947763054-685694022-7003\syscr.exe ');
DeleteFile('F:\RECYCLER\S-1-5-21-5090737932-9707271897-623094826-7173\syscr.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-6213057492-1127858644-700969346-7447\syscr.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-0758566517-3092097049-188403564-7577\syscr.exe');
QuarantineFile('F:\WINDOWS\system32\CDClose.dll ','');
DeleteFileMask('F:\Documents and Settings\ae_walle\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
QuarantineFile('F:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('F:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('F:\WINDOWS\system32\mssfc.dll','');
DeleteFile('F:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('F:\WINDOWS\system32\mssfc.dll');
RenameFile('F:\WINDOWS\System32\sfcfiles.dll', 'F:\WINDOWS\System32\sfcfiles.bak');
CopyFile('F:\WINDOWS\System32\dllcache\sfcfiles.dll','F:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('F:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM