Добрый день, после проверки обнаруженно много вирусов. Сиситема сама завершает работу (svchost), не запускается hijackthis - отказанно в доступе.
Добрый день, после проверки обнаруженно много вирусов. Сиситема сама завершает работу (svchost), не запускается hijackthis - отказанно в доступе.
Последний раз редактировалось Dolgih i; 26.11.2010 в 08:14.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\l.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys',''); QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe',''); QuarantineFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0061303.dll',''); QuarantineFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0061250.exe',''); QuarantineFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0060946.exe',''); QuarantineFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0060453.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe',''); QuarantineFile('C:\WINDOWS\system32\comsvcsu.dll',''); QuarantineFile('ў™ђ‡~ulcZQH.exe',''); QuarantineFile('c:\windows\system32\wuaucldt.exe',''); QuarantineFile('c:\documents and settings\Администратор\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\WINDOWS\system32\szetyj67vx.exe',''); QuarantineFile('C:\WINDOWS\system32\szetyj67v.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\inetsrv\iisrstas.exe',''); QuarantineFile('C:\WINDOWS\svc3.exe',''); QuarantineFile('C:\WINDOWS\svc2.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxл.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxк.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx§.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx¦.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx–.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx•.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxѓ.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx‚.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxЂ.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx~.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx}.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxm.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxn.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxp.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxq.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxz.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx{.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxg.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxb.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx`.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx_.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx^.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx].exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxY.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxxX.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx2.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx1.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx0.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx%.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx$.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx#.exe',''); QuarantineFile('C:\WINDOWS\System32\epowmlxx!.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2029583206-5725812799-597431795-2019\yv8g67.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\lbisov.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2029583206-5725812799-597431795-2019\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxЦ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxФ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxН.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxИ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxЖ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxГ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxВ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx^.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx].exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx[.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxY.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxX.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxW.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxV.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxU.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxT.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxS.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxR.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxO.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxK.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxJ.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxG.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxD.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxC.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxxA.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\[email protected]',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx=.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx9.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx8.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx7.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx6.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx5.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx4.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx3.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx2.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx1.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx0.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx-.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx+.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx).exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx(.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx&.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx%.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx$.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx#.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\epowmlxx!.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\vo0xz1.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tc4q.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\n8jgk2.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\n4ev49c.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\jds50j.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\frggn0.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dvam.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ck4r.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\6rrnqr.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\5vwi15p.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\4ikzhd.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0did.exe',''); DeleteService('zhhkgndh9'); DeleteService('zhtqfdgkswm3'); QuarantineFile('C:\WINDOWS\system32\drivers\zhtqfdgkswm3.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\zhhkgndh9.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gbvrmhss.sys',''); DeleteService('gbvrmhss'); QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys',''); QuarantineFile('C:\WINDOWS\system32\msdirectx.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys',''); QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\MICROS~1\mscrtms6\msftldr.dll',''); DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\MICROS~1\mscrtms6\msftldr.dll'); DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gbvrmhss.sys'); DeleteFile('C:\WINDOWS\system32\drivers\zhhkgndh9.sys'); DeleteFile('C:\WINDOWS\system32\drivers\zhtqfdgkswm3.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0did.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\4ikzhd.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\5vwi15p.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\6rrnqr.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ck4r.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\dvam.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\frggn0.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\jds50j.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\n4ev49c.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\n8jgk2.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tc4q.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\vo0xz1.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx!.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx#.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx$.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx%.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx&.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx(.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx).exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx+.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx-.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx0.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx1.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx2.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx3.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx4.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx5.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx6.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx7.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx8.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx9.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx=.exe'); DeleteFile('C:\Documents and Settings\Администратор\[email protected]'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxA.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxC.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxD.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxG.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxJ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxK.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxO.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxR.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxS.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxT.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxU.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxV.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxW.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxX.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxY.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx].exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx^.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx`.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxb.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxe.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxf.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxh.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxi.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxl.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxm.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxn.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxp.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxq.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxz.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx{.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx}.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx~.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЂ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx‚.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxѓ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx„.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx….exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx†.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx‡.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx€.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx‰.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx‹.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЊ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx‘.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx’.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx“.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx”.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx•.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx–.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx—.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx�.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx™.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxљ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx›.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxќ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxћ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxџ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx .exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЎ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЈ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx¤.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx¦.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx§.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx©.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx«.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx¬.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx*.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx®.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx°.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx±.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxі.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxґ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxµ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx¶.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx·.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxё.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx№.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxє.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx».exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxѕ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxї.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxА.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxБ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxВ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxГ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЖ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxИ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxН.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxФ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЦ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЫ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxд.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxЮ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxе.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxз.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxй.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxк.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxл.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxм.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxо.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxп.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxр.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxс.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxт.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxу.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxх.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxч.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxш.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxщ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxъ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxь.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxэ.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxxя.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2029583206-5725812799-597431795-2019\yv8g67.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx!.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx#.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx$.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx%.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx&.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx(.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx).exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx+.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx-.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx0.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx1.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx2.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx3.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx4.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx5.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx6.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx7.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx8.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx9.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx=.exe'); DeleteFile('C:\WINDOWS\System32\[email protected]'); DeleteFile('C:\WINDOWS\System32\epowmlxxA.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxC.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxD.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxI.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxJ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxK.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxO.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxR.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxS.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxT.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxU.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxV.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxW.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxX.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxY.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx[.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx].exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx^.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx_.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx`.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxb.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxg.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxf.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxe.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxh.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxl.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxm.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxn.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxp.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxq.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxz.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx{.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx}.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx~.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЂ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx‚.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxѓ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx„.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx….exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx†.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx‡.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx€.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx‰.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx‹.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЊ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx‘.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx’.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx“.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx”.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx•.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx–.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx—.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx�.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx™.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxљ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx›.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxћ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxџ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx .exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЎ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx¤.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx¦.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx§.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx©.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx«.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx¬.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx*.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx®.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx°.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx±.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxі.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxґ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxµ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx¶.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx·.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxё.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx№.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxє.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx».exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxј.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxѕ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxА.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxБ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxВ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxГ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЖ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxИ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxН.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxФ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЫ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxд.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxе.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxз.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxй.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxк.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxл.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxм.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxо.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxп.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxр.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxс.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxт.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxу.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxх.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxч.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxш.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxщ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxъ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxь.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxэ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxю.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxя.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','apps'); DeleteFile('C:\WINDOWS\fonts\services.exe'); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services'); DeleteFile('C:\WINDOWS\svc2.exe'); DeleteFile('C:\WINDOWS\svc3.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\szetyj67v.exe'); DeleteFile('C:\WINDOWS\system32\szetyj67vx.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','szetyj67vx'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','szetyj67v'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); DeleteFile('c:\windows\system32\wuaucldt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','жBNBZ4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','жBNBZ4'); DeleteFile('ў™ђ‡~ulcZQH.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe'); DeleteFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0060453.exe'); DeleteFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0060946.exe'); DeleteFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0061250.exe'); DeleteFile('C:\System Volume Information\_restore{E504283C-A07E-4305-A673-C78A511ABAB8}\RP324\A0061303.dll'); DeleteFile('C:\WINDOWS\system32\wuaucldt.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys'); DeleteFile('C:\Documents and Settings\Администратор\wuaucldt.exe'); DeleteFile('C:\l.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Не могу запустить hijackthis и mbam - отказанно в доступе.
Последний раз редактировалось Dolgih i; 26.11.2010 в 08:14.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe',''); QuarantineFile('C:\WINDOWS\system32\ssmypics.scr',''); QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys',''); QuarantineFile('C:\WINDOWS\system32\msdirectx.sys',''); DeleteService('msdirectx'); DeleteFile('C:\WINDOWS\system32\msdirectx.sys'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx[.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx['); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx_.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx_'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx�.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx�'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx '); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx .exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx*.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx*'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx�'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxxЌ'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx '); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx*'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxxї'); DeleteFile('C:\WINDOWS\System32\epowmlxxї.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx*.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx .exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxќ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx�.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxxц'); DeleteFile('C:\WINDOWS\System32\epowmlxxЦ.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
сделал
Последний раз редактировалось Dolgih i; 26.11.2010 в 08:14.
переделайте лог, я не могу его открыть
переделал. Еще обнаружилась проблема: при загрузке ошибка в видеодрайвере, при попытке удалить драйвер - устройство используется для загрузки ос. И имеется ли шанс запустить hijackthis ?
Последний раз редактировалось Dolgih i; 26.11.2010 в 08:14.
Больше ничем помочь не сможете?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('5705321.dll',''); QuarantineFile('395705.dll',''); DeleteFile('395705.dll'); DeleteFile('5705321.dll'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx�.exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx .exe'); DeleteFile('C:\Documents and Settings\Администратор\epowmlxx*.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx*'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx '); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx�'); DeleteFile('C:\WINDOWS\System32\epowmlxx.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx�.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx�'); DeleteFile('C:\WINDOWS\System32\epowmlxx .exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx*.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx '); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','epowmlxx*'); DeleteFile('digeste.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe'); DeleteFile('C:\WINDOWS\system32\aspperf.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- сделайте лог Combofix
сделано.
RSIT, Combofix также не запускаются - отказанно в доступе к указанному устройству, пути или файлу. Возможно у вас не нужных прав.
Последний раз редактировалось Dolgih i; 26.11.2010 в 08:14.
Уважаемый polword, я извиняюсь, оказывается нужно было во вкладке безопасность разрешить запуск программы. Выкладываю сделанные логи. лог Combofix наверное не сделался, пишет чего то крашед и чёрный экран.
Последний раз редактировалось Dolgih i; 28.01.2011 в 09:20.
Пофиксите в HiJack
Код:O2 - BHO: (no name) - {B99A9A26-8029-4112-95C3-CD3AEADCACD7} - C:\WINDOWS\system32\comsvcsu.dll (file missing) O20 - Winlogon Notify: 395705 - C:\WINDOWS\ O20 - Winlogon Notify: 5705321 - C:\WINDOWS\
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\18.tmp.exe'); DeleteFile('C:\WINDOWS\system32\pbbls4zv.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\24223') RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\24223') RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\24223'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\AudioMixer'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\pbbls4zv'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\plugin'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^siszyd32.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог RSIT
- файл sfcfiles.log прикрепите к сообщению
Добрый день, я скрипт не могу выполнить - ошибка ',' expected в позиции 10:2
- Выполните скрипт в AVZ
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\18.tmp.exe'); DeleteFile('C:\WINDOWS\system32\pbbls4zv.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\24223'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\AudioMixer'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\pbbls4zv'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\plugin'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^siszyd32.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\control\securityproviders','SecurityProviders','msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
все выполнил.
Последний раз редактировалось Dolgih i; 28.01.2011 в 09:20.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 278
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\wuaucldt.exe - Backdoor.Win32.Bifrose.dfrt ( DrWEB: BackDoor.Bulknet.511, BitDefender: Trojan.Peed.Gen, AVAST4: Win32:Trojan-gen )
- c:\\docume~1\\9335~1\\applic~1\\micros~1\\mscrtms6 \\msftldr.dll - Trojan.Win32.Agent.hfru ( DrWEB: Trojan.Siggen2.6643, BitDefender: Gen:Variant.Hyat.1, NOD32: Win32/Agent.RQN trojan, AVAST4: Win32:Malware-gen )
- c:\\recycler\\s-1-5-21-2029583206-5725812799-597431795-2019\\yv8g67.exe - Trojan.Win32.VBKrypt.unf ( DrWEB: Trojan.Packed.21167, BitDefender: Trojan.Generic.5036920, AVAST4: Win32:Malware-gen )
- c:\\system volume information\\_restore{e504283c-a07e-4305-a673-c78a511abab8}\\rp324\\a0061250.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
- c:\\system volume information\\_restore{e504283c-a07e-4305-a673-c78a511abab8}\\rp324\\a0061303.dll - Trojan.Win32.Swizzor.yhd ( DrWEB: archive: BackDoor.Msft.1, BitDefender: Trojan.Swizzor.16901, NOD32: Win32/Agent.RQN trojan )
- c:\\windows\\system32\\aspperf.exe - Trojan.Win32.Scar.dctf ( BitDefender: Trojan.Generic.5078341, NOD32: Win32/Agent.OIF trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Pakes.abl ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Trojan.Generic.5248698, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\msdirectx.sys - Rootkit.Win32.Agent.blip ( DrWEB: Trojan.NtRootKit.9782, BitDefender: Trojan.Generic.1607308, NOD32: Win32/PSW.WOW.NJE trojan, AVAST4: Win32:Trojan-gen )
- c:\\windows\\system32\\wuaucldt.exe - Backdoor.Win32.Bifrose.dfru ( DrWEB: BackDoor.Bulknet.511, BitDefender: Trojan.Peed.Gen, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Dolgih i, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.