Полечил от Win32.HLLW.Autoruner.5555

[BooZ]

Здравствуйте!

Вылечил ПК от Win32.HLLW.Autoruner.5555.Посмотрите логи:

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ronoyx.tmp','');     
 BC_ImportAll;
 ExecuteRepair(8);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Сделайте лог Гмер

[BooZ]

Карантин отправил.Вот лог Gmer

[BooZ]

Осталось что-то?

[olejah]

Лог Гмер неполный, кнопку Scan нажимали?

[BooZ]

Лог Гмер неполный, кнопку Scan нажимали?

Понял.Еще раз попробую.

[BooZ]

Повторный лог Gmer:

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится i52n1z6x.exe(GMER) и запустите этот батник(1.bat):

Код:

i52n1z6x.exe -del file "C:\WINDOWS\system32\fcfmxyse.dll"
i52n1z6x.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ

[BooZ]

Повторные логи AVZ:

[BooZ]

Что показывают повторные логи?

[Bratez]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ronoyx.tmp 2nJDIBCMGA');
DeleteFile('C:\WINDOWS\system32\fcfmxyse.dll');
ExecuteSysClean;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ServiceKill('xmlService');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи.

[BooZ]

Скрипт выполнил.Вот повторные логи:

Всё чисто?

[Bratez]

Чисто.
Рекомендуется установить SP3 и последующие обновления.

[BooZ]

Спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены