При загрузке начинает загружаться НОД, но ругается "unknown software exception (0x40000015)". потом начинает сильно тормозить. Логи [B]virusinfo_syscure.zip и [/B][B]virusinfo_cure.zip отсутствуют.[/B] Остальные во вложении
Printable View
При загрузке начинает загружаться НОД, но ругается "unknown software exception (0x40000015)". потом начинает сильно тормозить. Логи [B]virusinfo_syscure.zip и [/B][B]virusinfo_cure.zip отсутствуют.[/B] Остальные во вложении
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]Function DelAppInit_DLLsByFileName(Name : string; AName : boolean = false) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
If AName then while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos(' ', ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1))) > 0 then
Temp := Temp + ExtractFilePath(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))) + StringReplace(ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))), ' ', ',') else
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end else Temp := Temp_AppInit_DLLs;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\temp\*.exe','');
QuarantineFile('C:\Documents and Settings\Sergey\ctfmon.exe','');
DeleteService('yuawdfir');
DeleteService('xvhuaylqng');
DeleteService('xlfpjzxxdcn');
DeleteService('vnpwksawrtssggw');
DeleteService('udodystro');
DeleteService('ppjtpgzordw');
DeleteService('hnvjlquvqbonl');
DeleteService('fqlfmlja');
DeleteService('fnkiyiyyjmn');
DeleteService('emswdkxdqvlqpt');
QuarantineFile('C:\WINDOWS\system32\lveidqn.dll','');
DeleteFile('C:\WINDOWS\system32\lveidqn.dll');
DeleteFile('C:\Temp\mjvktcthqixdsh.sys');
DeleteFile('C:\Temp\vmfqjlagpixs.sys');
DeleteFile('C:\Temp\cvgqwfej.sys');
DeleteFile('C:\Temp\ftrkxzrgfb.sys');
DeleteFile('C:\Temp\txpcwdjejtr.sys');
DeleteFile('C:\Temp\afudhv.sys');
DeleteFile('C:\Temp\djtqwsz.sys');
DeleteFile('C:\Temp\hmnwkerufatuyd.sys');
DeleteFile('C:\Temp\rsbzkooiryjrwgl.sys');
DeleteFile('C:\Temp\mkhommcmtzr.sys');
DeleteFile('C:\Documents and Settings\Sergey\Application Data\Desktop Security 2010\Desktop Security 2010.exe');
DeleteFile('C:\Documents and Settings\Sergey\Application Data\lwtwfl.exe,explorer.exe,C:\Documents and Settings\Sergey\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Sergey\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFile('C:\Temp\*.*');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices-','KernelKernel');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices-','ModeMode');
DelAppInit_DLLsByFileName('C:\WINDOWS\system32\lveidqn.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=91673[/url]
4. Повторите лог [B]virusinfo_syscheck.[/B]
на загрузку карантина отвечает,что уже было загружено...
после выполнения скриптов все работает, нод не обновляется, ругается на распаковку файлов. переустановить?
[QUOTE='iwasyk;732233']переустановить?[/QUOTE]
Да.
благодарю, заработало! И что же это такое хитрое было?