-
Отключите:
-ПК от интернета
-Все защитные приложения
-Восстановление системы
Подключите:
-Диск D
Выполните скрипт в AVZ:
[CODE]
procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
QuarantineFile('D:\Autorun.vbe', '');
QuarantineFile('C:\WINDOWS\System32\dllcache\HDDhost.dll', '');
QuarantineFile('C:\WINDOWS\System32\drivers\Render.sys', '');
QuarantineFile('C:\WINDOWS\System32\HDlk.dll', '');
DeleteFile('C:\WINDOWS\System32\drivers\Render.sys');
DeleteFile('C:\WINDOWS\System32\HDlk.dll');
DeleteFile('C:\WINDOWS\System32\dllcache\HDDhost.dll');
DeleteFile('C:\Windows\system32\VBHost.vbe');
DeleteFile('D:\Autorun.vbe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\Autorun.bat');
BC_ImportAll;
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppMgmt', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\system32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\appmgmts.dll');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
-
Вложений: 2
Проблема осталась.
-
Ладно, готовьте Ваши руки к рукопашной.:)
Найдите эти файлы и удалите вручную:
[CODE]D:\Autorun.vbe
D:\autorun.inf
D:\Autorun.bat[/CODE]
Перед удалением убедитесь, что у Вас включен просмотр скрытых и системных файлов и папок.
После удаления сделайте лог AVZ.
-
Вложений: 1
новые логи
-
Ура, теперь в логе этих файлов нет.
Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\WINDOWS\System32\drivers\Render.sys');
DeleteFile('C:\WINDOWS\System32\HDlk.dll');
DeleteFile('C:\WINDOWS\System32\dllcache\HDDhost.dll');
DeleteFile('C:\Windows\system32\VBHost.vbe');
DeleteFile('D:\Autorun.vbe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\Autorun.bat');
BC_ImportAll;
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppMgmt', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\system32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\appmgmts.dll');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
-
Прошу меня извинить что долга не отвечал просто я в Греции отдыхал! Новые логи делаю сейчас скину.
-
Вложений: 2
новые логи
-
что не так с компьютером сейчас
-
Действуйте так:
1. Подключите все съемные накопители (флешки, внешние жесткие диски) к компьютеру.
2. Когда появляется окно с требованием о выкупе (С заголовком "Слушай меня") в поле ввода вводите следующий текст:
[B]8542q5137914[/B]
и нажимайте кнопку ОК.
Так делайте со всеми окнами с требованием о выкупе, которые будут появляться.
3. Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\WINDOWS\excec.vbe');
DeleteFile('C:\WINDOWS\system32\Statich.vbe');
DeleteFile('C:\WINDOWS\system32\drivers\Render.sys');
DeleteFile('C:\WINDOWS\Temp\GData.vbe');
DeleteFile('C:\WINDOWS\system32\HDlk.dll');
DeleteFile('C:\WINDOWS\system32\dllcache\HDDhost.dll');
DeleteFile('C:\WINDOWS\system32\VBHost.vbe');
DeleteFile('D:\Autorun.vbe');
DeleteFile('E:\Autorun.vbe');
DeleteFile('F:\Autorun.vbe');
DeleteFile('G:\Autorun.vbe');
DeleteFile('H:\Autorun.vbe');
DeleteFile('I:\Autorun.vbe');
DeleteFile('J:\Autorun.vbe');
DeleteFile('K:\Autorun.vbe');
DeleteFile('L:\Autorun.vbe');
DeleteFile('D:\Autorun.inf');
DeleteFile('E:\Autorun.inf');
DeleteFile('F:\Autorun.inf');
DeleteFile('G:\Autorun.inf');
DeleteFile('H:\Autorun.inf');
DeleteFile('I:\Autorun.inf');
DeleteFile('J:\Autorun.inf');
DeleteFile('K:\Autorun.inf');
DeleteFile('L:\Autorun.inf');
DeleteFile('D:\Autorun.bat');
DeleteFile('E:\Autorun.bat');
DeleteFile('F:\Autorun.bat');
DeleteFile('G:\Autorun.bat');
DeleteFile('H:\Autorun.bat');
DeleteFile('I:\Autorun.bat');
DeleteFile('J:\Autorun.bat');
DeleteFile('K:\Autorun.bat');
DeleteFile('L:\Autorun.bat');
SetServiceStart('Alerter',2);
SetServiceStart('LanmanServer',2);
SetServiceStart('NtmsSvc',2);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer','ErrorControl',1);
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppMgmt', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\system32\svchost.exe -k netsvcs');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
4. Сделайте повторные логи.
-
А если проблема пропала логи можно не делать? Спасибо вам огромное проблема пропала!:)
-
Нет, сделайте. Нужно убедиться, что все чисто.:)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00258 seconds with 10 queries