Помогите избавиться от заразы. :)
Printable View
Помогите избавиться от заразы. :)
Выполнить скрипт:
[CODE]procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.[/CODE]
Затем этот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINNT\system32\DRIVERS\sf256pcr.sys','');
DeleteService('Schedule');
DeleteService('Google Online Services');
DeleteService('FCI');
DeleteService('CcEvtSvc');
QuarantineFile('C:\WINNT\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\SY\ie_updates3r.exe','');
QuarantineFile('C:\WINNT\system32\fci.exe','');
QuarantineFile('C:\WINNT\System32\CcEvtSvc.exe','');
DeleteFile('C:\WINNT\System32\CcEvtSvc.exe');
DeleteFile('C:\WINNT\system32\fci.exe');
DeleteFile('C:\Documents and Settings\SY\ie_updates3r.exe');
DeleteFile('C:\WINNT\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\basexnco32.dll');
DeleteFile('C:\basexnco32.rar');
DeleteFile('C:\ASlim1200SE\basexnco32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('FCI');
BC_DeleteSvc('CcEvtSvc');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Сделал все, как вы сказали. Дисковода пока нет.
Установите AVZPM и сделайте логи...
[quote=Гриша;350945]Установите AVZPM и сделайте логи...[/quote]
Это тоже, что и AVPM? Подскажите, где логи хранятся?
Если это не AVPM, то где взять AVPM?
[url]http://virusinfo.info/showthread.php?t=12316[/url]
Я по незнанию сделал проверку при помощи AVPtool. Сейчас мне предлагают стереть троян, так как его невозможно вылечить. Соглашаться или сделать отказ и запустить AVZPM?
Удалите что предлагают и запишите название, после этого установите AVZPM и сделайте логи AVZ..
Сделано!
Кстати, попробовал поставить нод32 - неуспешно.
Помощь все еще нужна :(
Я просил установить AVZPM...
странно. я сделал все как в инструкции написано. установил драйвера, перезагрузил, сделал логи. По всей видимости что-то не получилось. Может дело вот в этой фразе:
[QUOTE]Необходимо запустить AVZ(с правами администратора).[/QUOTE]
Речь идет о правах админимтратора Виндовс или речь идет о запуске AVZ с каким то параметром? Если первое, то я так и сделал.
У вас не Vista и UAC нет :) Установите еще раз и сделайте логи...
да чего вы мучаетесь, вот этот скрипт выполнить в avz, а не в аvptool-
[code]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
он и поставит avzpm, потом уже логи сделаете в том же avz
Как можно понять, что AVZPM установился? Я сделал снова установку, перегрузился, но AVZ по-прежнему в меню позволяет выбрать опцию "установить драйвер расширенного мониторинга процессов". Значит ли это, что AVZPM не установлен? Как можно заставить установиться этот режим, если он не хочет устанавливаться штатно?
сделал логи.
Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer[/URL]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
ссылка на гмер битая. ;(
[QUOTE=Сергей Ш-в;361378]ссылка на гмер битая. ;([/QUOTE]Ссылка рабочая - только что проверил. Возьмите в аттаче