-
Junior Member
- Вес репутации
- 52
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
QuarantineFile('C:\Program Files\Internet Explorer\beqvfof.dll','');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
DelBHO('{E7E6F031-17CE-4C07-BC86-EABFE594F69C}');
DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\f1a61ff8.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('c:\windows\system32\f1a61ff8.exe');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('C:\Program Files\Internet Explorer\beqvfof.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(20);
BC_ServiceKill('akrtci');
BC_ServiceKill('jvbiczl');
BC_ServiceKill('siltevnue');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=76426
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
1 этап завершен
Большое Человеческое спасибо за столь оперативный ответ!!
Выполнил скрипты, выкладываю логи (карантин отправляю)
-
Junior Member
- Вес репутации
- 52
Сообщение от
vareliy
Большое Человеческое спасибо за столь оперативный ответ!!
Выполнил скрипты, выкладываю логи (карантин отправляю)
немножко лоханулся, первый раз не тот файл выслал (quarantine.zip)
virus.zip - по правилам.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
DeleteFile('F:\autorun.inf');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
Этап 2 завершен
Все выполнен в лучшем виде.
Спасибо Вам, Александра.
Последнее время хоть и не на долго загружается проблемный виндовз, но уже без проблем и эроров, который были.
Файл прикрепил. (есть подозрение, что еще не финал).
-
Junior Member
- Вес репутации
- 52
-
Сообщение от
vareliy
немного смущает строка AVZ "перехватчик не определен"
Это от DAEMON Tools.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\beqvfof.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, AVAST4: Win32:Rootkit-gen [Rtk] )
- f:\autorun.inf - Trojan.Win32.Buzus.bvza ( NOD32: Win32/AutoRun.KS worm )
-