-
Не могу удалить exe вируса
Сразу извиняюсь за несоответствие оформления запроса правилам. Времени было очень мало - смог проверить только с помощью AVZ. Также могу прислать архив с nissan.exe. Вирус создает на флешке autorun.inf и папку RECYCLER (или другим именем со значком корзины) с exe файлом внутри. Касперский, НОД, Dr Web, Avast не видят этот вирус (по тесту Virustotal Результат: 10/41 (24.39%)) Но удалить его не могу даже из безопасного режима. Также не помогает правка реестра - после перезагрузки ветка восстанавливается. Подскажите пожалуйста как это сделать.
Последний раз редактировалось Max_C; 26.05.2010 в 12:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1796778510-0750777398-802565067-0677\nissan.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5131507567-8340935336-249412581-7965\nissan.exe','');
QuarantineFile('C:\WINDOWS\system32\056.tmp','');
QuarantineFile('C:\WINDOWS\system32\019.tmp','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('D:\FXDrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\05B.tmp','');
QuarantineFile('C:\WINDOWS\system32\047.tmp','');
DeleteService('wcrvp');
DeleteService('srtwso');
DeleteService('rdhdg');
DeleteService('mmgjgwxm');
DeleteService('kfoeevk');
DeleteService('ibhktc');
DeleteService('dmsva');
DeleteService('bggfgee');
DeleteFile('C:\WINDOWS\system32\047.tmp');
DeleteFile('C:\WINDOWS\system32\05B.tmp');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\019.tmp');
DeleteFile('C:\WINDOWS\system32\056.tmp');
DeleteFile('C:\RECYCLER\S-1-5-21-5131507567-8340935336-249412581-7965\nissan.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1796778510-0750777398-802565067-0677\nissan.exe');
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\RECYCLER', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
AddToLog(inttostr(BC_ServiceKill('bxjvkpi')) );
AddToLog(inttostr(BC_ServiceKill('dwutfzt')) );
AddToLog(inttostr(BC_ServiceKill('exlmdtrae')) );
AddToLog(inttostr(BC_ServiceKill('fddvbj')) );
AddToLog(inttostr(BC_ServiceKill('gwhzgham')) );
AddToLog(inttostr(BC_ServiceKill('hpdwdbcrw')) );
AddToLog(inttostr(BC_ServiceKill('hutxe')) );
AddToLog(inttostr(BC_ServiceKill('liwrt')) );
AddToLog(inttostr(BC_ServiceKill('mdjfq')) );
AddToLog(inttostr(BC_ServiceKill('mnruhg')) );
AddToLog(inttostr(BC_ServiceKill('npdrvn')) );
AddToLog(inttostr(BC_ServiceKill('plxdpt')) );
AddToLog(inttostr(BC_ServiceKill('rsjqynn')) );
AddToLog(inttostr(BC_ServiceKill('sayjjtwca')) );
AddToLog(inttostr(BC_ServiceKill('sdrmlmbyj')) );
AddToLog(inttostr(BC_ServiceKill('tfjogj')) );
AddToLog(inttostr(BC_ServiceKill('xnqnadlze')) );
AddToLog(inttostr(BC_ServiceKill('xucmjdfh')) );
AddToLog(inttostr(BC_ServiceKill('yoqphax')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_QrSvc('FXDrv32');
BC_DeleteSvc('wcrvp');
BC_DeleteSvc('srtwso');
BC_DeleteSvc('rdhdg');
BC_DeleteSvc('mmgjgwxm');
BC_DeleteSvc('kfoeevk');
BC_DeleteSvc('ibhktc');
BC_DeleteSvc('dmsva');
BC_DeleteSvc('bggfgee');
BC_Activate;
SetAVZPMStatus(True);
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите в полном объеме.
-
