После вирусной атаки пролечил компьютер Kaspersky Removal Tool, помогите пожалуйста восстановить систему, логи прилагаются.
Printable View
После вирусной атаки пролечил компьютер Kaspersky Removal Tool, помогите пожалуйста восстановить систему, логи прилагаются.
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('C:\Zolander\Polanda\box.exe','');
DelCLSID('23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DeleteFile('C:\Zolander\Polanda\box.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/code]
После перезагрузки выполните второй скрипт
[code]Begin
CreateQurantineArchive('C:\quarantine.zip');
End.[/code]
Пофиксите Hijackthis (что останется)
[code]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe rihd.pno eaoydsi
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи
Все сделал, вот карантин
А где новые логи?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\netprotdrvss - [B]Backdoor.Win32.Buterat.ii[/B][/LIST][/LIST]