Снимали жесткий диск, проверяли, удаляли. Но всеравно после загрузки компьютера, KAV начинает находить вирусы и выполняет специальную процедуру лечения с перезагрузкой, но после перезагрузки начинается все по новой.
Printable View
Снимали жесткий диск, проверяли, удаляли. Но всеравно после загрузки компьютера, KAV начинает находить вирусы и выполняет специальную процедуру лечения с перезагрузкой, но после перезагрузки начинается все по новой.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\_Drivers\_audio\kxdrv3537-full.exe','');
QuarantineFile('c:\windows\system32\exphost.exe','');
QuarantineFile('C:\WINDOWS\system32\Tiya00814078AI.psl','');
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
DeleteService('vtgt');
QuarantineFile('C:\WINDOWS\system32\NSRIX5AQ\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\yykeym.exe','');
DeleteService('vMBSPaHR');
QuarantineFile('C:\sbrf\Pssvc1.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe','');
DeleteService('Netnanerav');
DeleteService('MKhxUmwz');
QuarantineFile('C:\WINDOWS\system32\NSRIX5AQ\G002.exe','');
DeleteService('grft');
QuarantineFile('C:\WINDOWS\system32\4K1EH3Y5\E003.exe','');
QuarantineFile('C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\oooyou.exe','');
DeleteService('kJSwpGGG');
QuarantineFile('C:\WINDOWS\system32\R614XAVH\F001.exe','');
DeleteService('asOQWYZN');
QuarantineFile('c:\windows\system32\ucz2t8pg\g001.exe','');
TerminateProcessByName('c:\windows\system32\ucz2t8pg\g001.exe');
DeleteFile('c:\windows\system32\ucz2t8pg\g001.exe');
DeleteFile('C:\WINDOWS\system32\R614XAVH\F001.exe');
DeleteFile('C:\WINDOWS\system32\oooyou.exe');
DeleteFile('C:\WINDOWS\system32\4K1EH3Y5\E003.exe');
DeleteFile('C:\WINDOWS\system32\NSRIX5AQ\G002.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\lanmao.exe');
DeleteFile('C:\WINDOWS\system32\yykeym.exe');
DeleteFile('C:\WINDOWS\system32\NSRIX5AQ\E001.exe');
DeleteFile('C:\WINDOWS\ali.exe');
DeleteFileMask('c:\windows\system32\ucz2t8pg', '*.*', true);
DeleteDirectory('c:\windows\system32\ucz2t8pg');
DeleteFileMask('c:\windows\system32\R614XAVH', '*.*', true);
DeleteDirectory('c:\windows\system32\R614XAVH');
DeleteFileMask('c:\windows\system32\4K1EH3Y5', '*.*', true);
DeleteDirectory('c:\windows\system32\4K1EH3Y5');
DeleteFileMask('c:\windows\system32\NSRIX5AQ', '*.*', true);
DeleteDirectory('c:\windows\system32\NSRIX5AQ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
Скрипт не помог, сообщения после перезагрузки по прежнему появляются
дочитайте рекомендации... и выполните !
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\lanmao.exe - [B]Backdoor.Win32.DarkShell.nd[/B] ( DrWEB: BackDoor.Darkshell.246, BitDefender: Backdoor.Darkshell.I, NOD32: Win32/Farfli.AY trojan, AVAST4: Win32:BackDoor-VI [Trj] )[*] c:\\windows\\system32\\oooyou.exe - [B]Trojan.Win32.Scar.dhmo[/B] ( DrWEB: BackDoor.Siggen.27480, BitDefender: GenPack:Trojan.Generic.5229720, NOD32: Win32/ServStart.AL trojan, AVAST4: Win32:Crypt-JFZ [Trj] )[*] c:\\windows\\system32\\tiya00814078ai.psl - [B]Trojan-GameThief.Win32.Magania.efef[/B] ( DrWEB: Trojan.KeyLogger.8472, BitDefender: Dialer.Generic.57165, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\yykeym.exe - [B]Trojan-Dropper.Win32.Agent.dqvf[/B] ( DrWEB: BackDoor.Siggen.27479, BitDefender: Gen:Trojan.Heur.GM.0024020422, AVAST4: Win32:Crypt-JFZ [Trj] )[/LIST][/LIST]